Firefox-kehittäjät DNS yli HTTPS (DoH, DNS over HTTPS) -tilan käyttöönotosta oletuksena yhdysvaltalaisille käyttäjille. DNS-liikenteen salausta pidetään olennaisen tärkeänä tekijänä käyttäjien suojaamisessa. Tästä päivästä alkaen kaikissa yhdysvaltalaisten käyttäjien uusissa asennuksissa DoH on oletusarvoisesti käytössä. Nykyiset yhdysvaltalaiset käyttäjät siirretään DoH:hon muutaman viikon sisällä. Ota DoH oletusarvoisesti käyttöön toistaiseksi Euroopan unionissa ja muissa maissa .
DoH:n aktivoinnin jälkeen käyttäjälle näytetään varoitus, jonka avulla hän voi halutessaan kieltäytyä ottamasta yhteyttä keskitettyihin DoH DNS-palvelimiin ja palata perinteiseen tapaan lähettää salaamattomat kyselyt palveluntarjoajan DNS-palvelimelle. DNS-selvittäjien hajautetun infrastruktuurin sijaan DoH käyttää sidontaa tiettyyn DoH-palveluun, jota voidaan pitää yhtenä vikakohtana. Tällä hetkellä työtä tarjotaan kahden DNS-palveluntarjoajan kautta - CloudFlare (oletus) ja .
Vaihda palveluntarjoajaa tai poista DoH käytöstä verkkoyhteysasetuksissa. Voit esimerkiksi määrittää vaihtoehtoisen DoH-palvelimen "https://dns.google/dns-query" käyttääksesi Googlen palvelimia, "https://dns.quad9.net/dns-query" - Quad9 ja "https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config tarjoaa myös network.trr.mode-asetuksen, jonka avulla voit muuttaa DoH-käyttötilaa: arvo 0 poistaa DoH:n kokonaan käytöstä; 1 - DNS tai DoH käytetään sen mukaan, kumpi on nopeampi; 2 - DoH:ta käytetään oletuksena ja DNS:ää varavaihtoehtona; 3 - vain DoH on käytössä; 4 - peilaustila, jossa DoH:ta ja DNS:ää käytetään rinnakkain.
Muistetaan, että DoH voi olla hyödyllinen estämään pyydettyjä isäntänimiä koskevien tietojen vuotaminen palveluntarjoajien DNS-palvelimien kautta, torjumaan MITM-hyökkäyksiä ja DNS-liikenteen huijausta (esimerkiksi yhdistettäessä julkiseen Wi-Fi-verkkoon), estämään DNS-estoja. tasolla (DoH ei voi korvata VPN:ää DPI-tasolla toteutetun eston ohituksen alueella) tai työn järjestämiseen, jos DNS-palvelimiin ei pääse suoraan (esimerkiksi välityspalvelimen kautta). Jos normaalitilanteessa DNS-pyynnöt lähetetään suoraan järjestelmäkokoonpanossa määritellyille DNS-palvelimille, niin DoH:n tapauksessa isännän IP-osoitteen määrittäminen pyyntö kapseloidaan HTTPS-liikenteeseen ja lähetetään HTTP-palvelimelle, jossa ratkaisija käsittelee. pyyntöjä Web API:n kautta. Nykyinen DNSSEC-standardi käyttää salausta vain asiakkaan ja palvelimen todentamiseen, mutta ei suojaa liikennettä sieppaukselta eikä takaa pyyntöjen luottamuksellisuutta.
Valitse Firefoxissa tarjottavat DoH-palveluntarjoajat luotettaville DNS-ratkaisijoille, joiden mukaan DNS-operaattori voi käyttää ratkaisuun saamiaan tietoja vain palvelun toiminnan varmistamiseksi, ei saa säilyttää lokeja yli 24 tuntia, ei saa siirtää tietoja kolmansille osapuolille ja on velvollinen luovuttamaan tietoja tietojenkäsittelymenetelmiä. Palvelun tulee myös sitoutua olemaan sensuroimatta, suodattamatta, häiritsemättä tai estämättä DNS-liikennettä, paitsi lain sallimissa tilanteissa.
DoH:ta tulee käyttää varoen. Esimerkiksi Venäjän federaatiossa IP-osoitteet 104.16.248.249 ja 104.16.249.249 liittyvät oletusarvoiseen DoH-palvelimeen mozilla.cloudflare-dns.com, joita tarjotaan Firefoxissa, в Stavropolin tuomioistuimen pyynnöstä 10.06.2013. kesäkuuta XNUMX.
DoH voi myös aiheuttaa ongelmia sellaisilla aloilla kuin lapsilukkojärjestelmät, pääsy sisäisiin nimiavaruuksiin yritysjärjestelmissä, reitin valinta sisällön toimituksen optimointijärjestelmissä ja oikeuden määräysten noudattaminen laittoman sisällön levityksen ja hyväksikäytön torjunnassa. alaikäiset. Tällaisten ongelmien kiertämiseksi on otettu käyttöön ja testattu tarkistusjärjestelmä, joka poistaa DoH:n automaattisesti käytöstä tietyissä olosuhteissa.
Yrityksen ratkaisijoiden tunnistamiseksi epätyypilliset ensimmäisen tason toimialueet (TLD:t) tarkistetaan ja järjestelmäratkaisija palauttaa intranet-osoitteet. Sen määrittämiseksi, onko lapsilukko käytössä, yritetään selvittää nimi exampleadultsite.com, ja jos tulos ei vastaa todellista IP-osoitetta, aikuisille suunnatun sisällön eston katsotaan olevan aktiivinen DNS-tasolla. Googlen ja YouTuben IP-osoitteet tarkistetaan myös merkkinä, onko ne korvattu limit.youtube.com-, forcesafesearch.google.com- ja limitmoderate.youtube.com-osoitteilla. Näiden tarkistusten avulla hyökkääjät, jotka hallitsevat ratkaisejan toimintaa tai pystyvät häiritsemään liikennettä, voivat simuloida tällaista toimintaa ja poistaa DNS-liikenteen salauksen käytöstä.
Yhden DoH-palvelun kautta työskentely voi myös mahdollisesti johtaa ongelmiin liikenteen optimoinnissa sisällönjakeluverkoissa, jotka tasapainottavat liikennettä DNS:n avulla (CDN-verkon DNS-palvelin luo vastauksen ottaen huomioon ratkaisejan osoitteen ja tarjoaa lähimmän isännän sisällön vastaanottamiseen). DNS-kyselyn lähettäminen käyttäjää lähimmältä ratkaisijalta tällaisissa CDN-verkoissa johtaa käyttäjää lähinnä olevan isännän osoitteen palauttamiseen, mutta DNS-kyselyn lähettäminen keskitetystä ratkaisijasta palauttaa DNS-over-HTTPS-palvelinta lähinnä olevan isäntäosoitteen. . Käytännön testaus osoitti, että DNS-over-HTTP:n käyttö CDN:ää käytettäessä ei aiheuttanut käytännössä mitään viiveitä ennen sisällönsiirron alkamista (nopeilla yhteyksillä viiveet eivät ylittäneet 10 millisekuntia ja vielä nopeampaa suorituskykyä havaittiin hitailla viestintäkanavilla ). EDNS Client Subnet -laajennuksen käytön katsottiin myös tarjoavan asiakkaan sijaintitiedot CDN-ratkaisulle.
Lähde: opennet.ru