Firefox-kehittäjät
Vuoden aikana tehdyt testit osoittivat palvelun luotettavuuden ja hyvän suorituskyvyn ja mahdollistivat myös tilanteiden tunnistamisen, joissa DoH voi johtaa ongelmiin ja kehittää ratkaisuja niiden kiertämiseen (esim.
DNS-liikenteen salaamisen tärkeyttä on arvioitu olennaisesti tärkeäksi tekijäksi käyttäjien suojelemisessa, joten DoH päätettiin ottaa oletusarvoisesti käyttöön, mutta ensimmäisessä vaiheessa vain yhdysvaltalaisille käyttäjille. DoH:n aktivoinnin jälkeen käyttäjä saa varoituksen, jonka avulla hän voi halutessaan kieltäytyä ottamasta yhteyttä keskitettyihin DoH DNS -palvelimiin ja palata perinteiseen tapaan lähettää salaamattomia pyyntöjä palveluntarjoajan DNS-palvelimelle (hajautetun DNS-ratkaisun infrastruktuurin sijaan, DoH käyttää sitoutumista tiettyyn DoH-palveluun , jota voidaan pitää yhtenä vikakohtana).
Jos DoH on aktivoitu, lapsilukkojärjestelmät ja yritysverkot, jotka käyttävät sisäisen verkon DNS-nimirakennetta intranet-osoitteiden ja yrityksen isäntien ratkaisemiseen, voivat häiriintyä. Tällaisten järjestelmien ongelmien ratkaisemiseksi on lisätty tarkistusjärjestelmä, joka poistaa DoH:n automaattisesti käytöstä. Tarkistukset suoritetaan aina, kun selain käynnistetään tai kun aliverkon muutos havaitaan.
Automaattinen paluu tavallisen käyttöjärjestelmän ratkaisijan käyttöön tarjotaan myös, jos DoH:n kautta tapahtuvan ratkaisun aikana ilmenee virheitä (esimerkiksi jos verkon käytettävyys DoH-palveluntarjoajan kanssa on häiriintynyt tai sen infrastruktuurissa ilmenee vikoja). Tällaisten tarkistusten merkitys on kyseenalainen, koska kukaan ei estä ratkaisejan toimintaa ohjaavia tai liikennettä häiritseviä hyökkääjiä simuloimasta vastaavaa toimintaa DNS-liikenteen salauksen poistamiseksi. Ongelma ratkesi lisäämällä asetuksiin "DoH aina" (hiljaisesti ei-aktiivinen), kun se on asetettu, automaattista sammutusta ei käytetä, mikä on kohtuullinen kompromissi.
Yrityksen ratkaisijoiden tunnistamiseksi epätyypilliset ensimmäisen tason toimialueet (TLD:t) tarkistetaan ja järjestelmäratkaisija palauttaa intranet-osoitteet. Sen määrittämiseksi, onko lapsilukko käytössä, yritetään selvittää nimi exampleadultsite.com, ja jos tulos ei vastaa todellista IP-osoitetta, aikuisille suunnatun sisällön eston katsotaan olevan aktiivinen DNS-tasolla. Googlen ja YouTuben IP-osoitteet tarkistetaan myös merkkinä, onko ne korvattu limit.youtube.com-, forcesafesearch.google.com- ja limitmoderate.youtube.com-osoitteilla. Lisä Mozilla
Yhden DoH-palvelun kautta työskentely voi myös mahdollisesti johtaa ongelmiin liikenteen optimoinnissa sisällönjakeluverkoissa, jotka tasapainottavat liikennettä DNS:n avulla (CDN-verkon DNS-palvelin luo vastauksen ottaen huomioon ratkaisejan osoitteen ja tarjoaa lähimmän isännän sisällön vastaanottamiseen). DNS-kyselyn lähettäminen käyttäjää lähimmältä ratkaisijalta tällaisissa CDN-verkoissa johtaa käyttäjää lähinnä olevan isännän osoitteen palauttamiseen, mutta DNS-kyselyn lähettäminen keskitetystä ratkaisijasta palauttaa DNS-over-HTTPS-palvelinta lähinnä olevan isäntäosoitteen. . Käytännön testaus osoitti, että DNS-over-HTTP:n käyttö CDN:ää käytettäessä ei aiheuttanut käytännössä mitään viiveitä ennen sisällönsiirron alkamista (nopeilla yhteyksillä viiveet eivät ylittäneet 10 millisekuntia ja vielä nopeampaa suorituskykyä havaittiin hitailla viestintäkanavilla ). EDNS Client Subnet -laajennuksen käytön katsottiin myös tarjoavan asiakkaan sijaintitiedot CDN-ratkaisulle.
Muistetaan, että DoH voi olla hyödyllinen pyydettyjä isäntänimiä koskevien tietojen vuotamisen estämisessä palveluntarjoajien DNS-palvelimien kautta, MITM-hyökkäysten ja DNS-liikenteen huijauksen torjunnassa, DNS-tason estojen torjunnassa tai työn organisoinnissa siinä tapauksessa, että on mahdotonta päästä suoraan DNS-palvelimiin (esimerkiksi välityspalvelimen kautta). Jos normaalitilanteessa DNS-pyynnöt lähetetään suoraan järjestelmäkokoonpanossa määritellyille DNS-palvelimille, niin DoH:n tapauksessa isännän IP-osoitteen määrittäminen pyyntö kapseloidaan HTTPS-liikenteeseen ja lähetetään HTTP-palvelimelle, jossa ratkaiseja käsittelee. pyyntöjä Web API:n kautta. Nykyinen DNSSEC-standardi käyttää salausta vain asiakkaan ja palvelimen todentamiseen, mutta se ei suojaa liikennettä sieppaukselta eikä takaa pyyntöjen luottamuksellisuutta.
Jos haluat ottaa DoH:n käyttöön about:configissa, sinun on muutettava Network.trr.mode-muuttujan arvoa, jota on tuettu Firefox 60:stä lähtien. Arvo 0 poistaa DoH:n kokonaan käytöstä. 1 - DNS tai DoH käytetään sen mukaan, kumpi on nopeampi; 2 - DoH:ta käytetään oletuksena ja DNS:ää varavaihtoehtona; 3 - vain DoH on käytössä; 4 - peilaustila, jossa DoH:ta ja DNS:ää käytetään rinnakkain. Oletuksena käytetään CloudFlare DNS -palvelinta, mutta sitä voidaan muuttaa parametrin network.trr.uri kautta, esimerkiksi "https://dns.google.com/experimental" tai "https://9.9.9.9". .XNUMX/dns-kysely
Lähde: opennet.ru