Firefox-kehittäjät DNS HTTPS:n (DoH, DNS over HTTPS) testaustuen valmistumisesta ja aikomuksesta ottaa tämä tekniikka oletusarvoisesti käyttöön yhdysvaltalaisille käyttäjille syyskuun lopussa. Aktivointi suoritetaan asteittain, aluksi muutamalle prosentille käyttäjistä, ja jos ongelmia ei ole, kasvaa vähitellen 100 prosenttiin. Kun Yhdysvallat on katettu, DoH harkitaan sisällyttämistä muihin maihin.
Vuoden aikana tehdyt testit osoittivat palvelun luotettavuuden ja hyvän suorituskyvyn ja mahdollistivat myös tilanteiden tunnistamisen, joissa DoH voi johtaa ongelmiin ja kehittää ratkaisuja niiden kiertämiseen (esim. liikenteen optimointi sisällönjakeluverkoissa, lapsilukko ja yrityksen sisäiset DNS-vyöhykkeet).
DNS-liikenteen salaamisen tärkeyttä on arvioitu olennaisesti tärkeäksi tekijäksi käyttäjien suojelemisessa, joten DoH päätettiin ottaa oletusarvoisesti käyttöön, mutta ensimmäisessä vaiheessa vain yhdysvaltalaisille käyttäjille. DoH:n aktivoinnin jälkeen käyttäjä saa varoituksen, jonka avulla hän voi halutessaan kieltäytyä ottamasta yhteyttä keskitettyihin DoH DNS -palvelimiin ja palata perinteiseen tapaan lähettää salaamattomia pyyntöjä palveluntarjoajan DNS-palvelimelle (hajautetun DNS-ratkaisun infrastruktuurin sijaan, DoH käyttää sitoutumista tiettyyn DoH-palveluun , jota voidaan pitää yhtenä vikakohtana).
Jos DoH on aktivoitu, lapsilukkojärjestelmät ja yritysverkot, jotka käyttävät sisäisen verkon DNS-nimirakennetta intranet-osoitteiden ja yrityksen isäntien ratkaisemiseen, voivat häiriintyä. Tällaisten järjestelmien ongelmien ratkaisemiseksi on lisätty tarkistusjärjestelmä, joka poistaa DoH:n automaattisesti käytöstä. Tarkistukset suoritetaan aina, kun selain käynnistetään tai kun aliverkon muutos havaitaan.
Automaattinen paluu tavallisen käyttöjärjestelmän ratkaisijan käyttöön tarjotaan myös, jos DoH:n kautta tapahtuvan ratkaisun aikana ilmenee virheitä (esimerkiksi jos verkon käytettävyys DoH-palveluntarjoajan kanssa on häiriintynyt tai sen infrastruktuurissa ilmenee vikoja). Tällaisten tarkistusten merkitys on kyseenalainen, koska kukaan ei estä ratkaisejan toimintaa ohjaavia tai liikennettä häiritseviä hyökkääjiä simuloimasta vastaavaa toimintaa DNS-liikenteen salauksen poistamiseksi. Ongelma ratkesi lisäämällä asetuksiin "DoH aina" (hiljaisesti ei-aktiivinen), kun se on asetettu, automaattista sammutusta ei käytetä, mikä on kohtuullinen kompromissi.
Yrityksen ratkaisijoiden tunnistamiseksi epätyypilliset ensimmäisen tason toimialueet (TLD:t) tarkistetaan ja järjestelmäratkaisija palauttaa intranet-osoitteet. Sen määrittämiseksi, onko lapsilukko käytössä, yritetään selvittää nimi exampleadultsite.com, ja jos tulos ei vastaa todellista IP-osoitetta, aikuisille suunnatun sisällön eston katsotaan olevan aktiivinen DNS-tasolla. Googlen ja YouTuben IP-osoitteet tarkistetaan myös merkkinä, onko ne korvattu limit.youtube.com-, forcesafesearch.google.com- ja limitmoderate.youtube.com-osoitteilla. Lisä Mozilla toteuttaa yksi testiisäntä , jota Internet-palveluntarjoajat ja lapsilukkopalvelut voivat käyttää lippuna DoH:n poistamiseen (jos isäntä ei tunnisteta, Firefox poistaa DoH:n käytöstä).
Yhden DoH-palvelun kautta työskentely voi myös mahdollisesti johtaa ongelmiin liikenteen optimoinnissa sisällönjakeluverkoissa, jotka tasapainottavat liikennettä DNS:n avulla (CDN-verkon DNS-palvelin luo vastauksen ottaen huomioon ratkaisejan osoitteen ja tarjoaa lähimmän isännän sisällön vastaanottamiseen). DNS-kyselyn lähettäminen käyttäjää lähimmältä ratkaisijalta tällaisissa CDN-verkoissa johtaa käyttäjää lähinnä olevan isännän osoitteen palauttamiseen, mutta DNS-kyselyn lähettäminen keskitetystä ratkaisijasta palauttaa DNS-over-HTTPS-palvelinta lähinnä olevan isäntäosoitteen. . Käytännön testaus osoitti, että DNS-over-HTTP:n käyttö CDN:ää käytettäessä ei aiheuttanut käytännössä mitään viiveitä ennen sisällönsiirron alkamista (nopeilla yhteyksillä viiveet eivät ylittäneet 10 millisekuntia ja vielä nopeampaa suorituskykyä havaittiin hitailla viestintäkanavilla ). EDNS Client Subnet -laajennuksen käytön katsottiin myös tarjoavan asiakkaan sijaintitiedot CDN-ratkaisulle.
Muistetaan, että DoH voi olla hyödyllinen pyydettyjä isäntänimiä koskevien tietojen vuotamisen estämisessä palveluntarjoajien DNS-palvelimien kautta, MITM-hyökkäysten ja DNS-liikenteen huijauksen torjunnassa, DNS-tason estojen torjunnassa tai työn organisoinnissa siinä tapauksessa, että on mahdotonta päästä suoraan DNS-palvelimiin (esimerkiksi välityspalvelimen kautta). Jos normaalitilanteessa DNS-pyynnöt lähetetään suoraan järjestelmäkokoonpanossa määritellyille DNS-palvelimille, niin DoH:n tapauksessa isännän IP-osoitteen määrittäminen pyyntö kapseloidaan HTTPS-liikenteeseen ja lähetetään HTTP-palvelimelle, jossa ratkaiseja käsittelee. pyyntöjä Web API:n kautta. Nykyinen DNSSEC-standardi käyttää salausta vain asiakkaan ja palvelimen todentamiseen, mutta se ei suojaa liikennettä sieppaukselta eikä takaa pyyntöjen luottamuksellisuutta.
Jos haluat ottaa DoH:n käyttöön about:configissa, sinun on muutettava Network.trr.mode-muuttujan arvoa, jota on tuettu Firefox 60:stä lähtien. Arvo 0 poistaa DoH:n kokonaan käytöstä. 1 - DNS tai DoH käytetään sen mukaan, kumpi on nopeampi; 2 - DoH:ta käytetään oletuksena ja DNS:ää varavaihtoehtona; 3 - vain DoH on käytössä; 4 - peilaustila, jossa DoH:ta ja DNS:ää käytetään rinnakkain. Oletuksena käytetään CloudFlare DNS -palvelinta, mutta sitä voidaan muuttaa parametrin network.trr.uri kautta, esimerkiksi "https://dns.google.com/experimental" tai "https://9.9.9.9". .XNUMX/dns-kysely
Lähde: opennet.ru