Développeurs Firefox sur l'achèvement des tests de prise en charge du DNS sur HTTPS (DoH, DNS sur HTTPS) et l'intention d'activer cette technologie par défaut pour les utilisateurs américains fin septembre. L'activation se fera progressivement, dans un premier temps pour quelques pour cent d'utilisateurs, et s'il n'y a aucun problème, en augmentant progressivement jusqu'à 100 %. Une fois que les États-Unis seront couverts, l’inclusion du DoH dans d’autres pays sera envisagée.
Les tests effectués tout au long de l'année ont montré la fiabilité et les bonnes performances du service, et ont également permis d'identifier certaines situations dans lesquelles DoH peut entraîner des problèmes et de développer des solutions pour les contourner (par exemple, démontage avec optimisation du trafic dans les réseaux de diffusion de contenu, contrôles parentaux et zones DNS internes à l'entreprise).
L'importance du cryptage du trafic DNS est considérée comme un facteur fondamental pour la protection des utilisateurs. Il a donc été décidé d'activer DoH par défaut, mais dans un premier temps uniquement pour les utilisateurs des États-Unis. Après avoir activé DoH, l'utilisateur recevra un avertissement qui permettra, s'il le souhaite, de refuser de contacter les serveurs DNS centralisés de DoH et de revenir au schéma traditionnel d'envoi de requêtes non cryptées au serveur DNS du fournisseur (au lieu d'une infrastructure distribuée de résolveurs DNS, DoH utilise la liaison à un service DoH spécifique, qui peut être considéré comme un point de défaillance unique).
Si DoH est activé, les systèmes de contrôle parental et les réseaux d'entreprise qui utilisent la structure de noms DNS interne uniquement pour résoudre les adresses intranet et les hôtes d'entreprise peuvent être perturbés. Pour résoudre les problèmes liés à de tels systèmes, un système de contrôle a été ajouté qui désactive automatiquement DoH. Des contrôles sont effectués à chaque lancement du navigateur ou lorsqu'un changement de sous-réseau est détecté.
Un retour automatique à l'utilisation du résolveur standard du système d'exploitation est également fourni si des pannes surviennent lors de la résolution via DoH (par exemple, si la disponibilité du réseau avec le fournisseur DoH est perturbée ou si des pannes surviennent dans son infrastructure). La signification de ces contrôles est discutable, puisque personne n'empêche les attaquants qui contrôlent le fonctionnement du résolveur ou sont capables d'interférer avec le trafic de simuler un comportement similaire pour désactiver le cryptage du trafic DNS. Le problème a été résolu en ajoutant l'élément « DoH toujours » aux paramètres (silencieusement inactif), lorsqu'il est défini, l'arrêt automatique n'est pas appliqué, ce qui constitue un compromis raisonnable.
Pour identifier les résolveurs d'entreprise, les domaines de premier niveau (TLD) atypiques sont vérifiés et le résolveur système renvoie les adresses intranet. Pour déterminer si le contrôle parental est activé, une tentative est faite pour résoudre le nom exampleadultsite.com et si le résultat ne correspond pas à l'adresse IP réelle, on considère que le blocage du contenu pour adultes est actif au niveau DNS. Les adresses IP de Google et YouTube sont également vérifiées en tant que signes pour voir si elles ont été remplacées par restrict.youtube.com, forcesafesearch.google.com et restrictmoderate.youtube.com. Mozilla supplémentaire implémenter un seul hôte de test , que les FAI et les services de contrôle parental peuvent utiliser comme indicateur pour désactiver DoH (si l'hôte n'est pas détecté, Firefox désactive DoH).
Travailler via un seul service DoH peut également potentiellement entraîner des problèmes d'optimisation du trafic dans les réseaux de diffusion de contenu qui équilibrent le trafic à l'aide du DNS (le serveur DNS du réseau CDN génère une réponse en tenant compte de l'adresse du résolveur et fournit l'hôte le plus proche pour recevoir le contenu). L'envoi d'une requête DNS depuis le résolveur le plus proche de l'utilisateur dans de tels CDN renvoie l'adresse de l'hôte le plus proche de l'utilisateur, mais l'envoi d'une requête DNS depuis un résolveur centralisé renverra l'adresse de l'hôte la plus proche du serveur DNS sur HTTPS. . Les tests pratiques ont montré que l'utilisation du DNS sur HTTP lors de l'utilisation d'un CDN n'entraînait pratiquement aucun délai avant le début du transfert de contenu (pour les connexions rapides, les délais ne dépassaient pas 10 millisecondes, et des performances encore plus rapides étaient observées sur les canaux de communication lents. ). L’utilisation de l’extension EDNS Client Subnet a également été envisagée pour fournir des informations sur l’emplacement du client au résolveur CDN.
Rappelons que DoH peut être utile pour prévenir les fuites d'informations sur les noms d'hôtes demandés via les serveurs DNS des fournisseurs, lutter contre les attaques MITM et l'usurpation du trafic DNS, contrer les blocages au niveau DNS, ou encore pour organiser le travail en cas d'incident. il est impossible d'accéder directement aux serveurs DNS (par exemple, lorsque vous travaillez via un proxy). Si dans une situation normale les requêtes DNS sont directement envoyées aux serveurs DNS définis dans la configuration du système, alors dans le cas de DoH, la requête pour déterminer l'adresse IP de l'hôte est encapsulée dans le trafic HTTPS et envoyée au serveur HTTP, où le résolveur traite requêtes via l’API Web. La norme DNSSEC existante utilise le cryptage uniquement pour authentifier le client et le serveur, mais ne protège pas le trafic contre l'interception et ne garantit pas la confidentialité des demandes.
Pour activer DoH dans about:config, vous devez modifier la valeur de la variable network.trr.mode, qui est prise en charge depuis Firefox 60. Une valeur de 0 désactive complètement DoH ; 1 - DNS ou DoH est utilisé, selon celui qui est le plus rapide ; 2 - DoH est utilisé par défaut et DNS est utilisé comme option de secours ; 3 - seul DoH est utilisé ; 4 - mode miroir dans lequel DoH et DNS sont utilisés en parallèle. Par défaut, le serveur DNS CloudFlare est utilisé, mais il peut être modifié via le paramètre network.trr.uri, par exemple, vous pouvez définir « https://dns.google.com/experimental » ou « https://9.9.9.9 .XNUMX/requête DNS "
Source: opennet.ru