Forbróirí Firefox о завершении тестирования поддержки DNS поверх HTTPS (DoH, DNS over HTTPS) и намерении в конце сентября включить данную технологию по умолчанию для пользователей из США. Включение будет производиться поступательно, вначале для нескольких процентов пользователей, а в случае отсутствия проблем постепенно доводя до 100%. После охвата США будет рассмотрена возможность включения DoH и в других странах.
Проводимые в течение года тесты показали надёжность и хорошую производительность сервиса, а также позволили выявить некоторые ситуации, когда DoH может приводить к проблемам, и разработать решения для их обхода (например, разобраны с оптимизацией трафика в сетях доставки контента, родительским контролем и корпоративными внутренними DNS-зонами).
Важность шифрования DNS-трафика оценивается как принципиально важный фактор защиты пользователей, поэтому DoH решено включить по умолчанию, но на первом этапе только для пользователей из США. После активации DoH пользователю будет выведено предупреждение, которое позволит при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера (вместо распределённой инфраструктуры резолверов DNS, в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа).
При активации DoH возможно нарушение работы систем родительского контроля и корпоративных сетей, использующих доступную только для внутренней сети структуру имён DNS для преобразования интранет-адресов и корпоративных хостов. Для решения проблем с подобными системами добавлена система проверок, автоматически отключающих DoH. Проверки выполняются при каждом запуске браузера или при определении изменения подсети.
Автоматический возврат на использование штатного резолвера операционной системы также предусмотрен при возникновении сбоев при резолвинге через DoH (например, при нарушении сетевой доступности с провайдером DoH или возникновении сбоев в его инфраструктуре). Смысл подобных проверок сомнителен, так как никто не мешает атакующим, контролирующим работу резолвера или способным вмешаться в трафик, симулировать подобное поведение для отключения шифрования DNS-трафика. Проблема решена добавлением в настройки пункта «DoH always» (по молчанию не активен), при установке которого автоматическое отключение не применяется, что является разумным компромиссом.
Для определения корпоративных резолверов выполняются проверки нетипичных доменов первого уровня (TLD) и возвращение системным резолвером интранет-адресов. Для определения включения родительского контроля осуществляется попытка резолвинга имени exampleadultsite.com и если результат не совпадает с фактическим IP, считается, что активна блокировка взрослого контента на уровне DNS. В качестве признаков также проверяются IP-адреса Google и YouTube на предмет их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com. Дополнительно Mozilla внедрить единый проверочный хост , который могут использовать интернет-провайдеры и сервисы родительского контроля в качестве метки для отключения DoH (если хост не определяется, Firefox отключает DoH).
D’fhéadfadh fadhbanna le leas iomlán a bhaint tráchta a bheith mar thoradh ar oibriú trí sheirbhís amháin DoH freisin i líonraí seachadta inneachair a chothromaíonn trácht ag baint úsáide as DNS (gineann freastalaí DNS an líonra CDN freagra ag cur an seoladh réititheora san áireamh agus soláthraíonn sé an t-óstach is gaire don ábhar a fháil). Má sheoltar fiosrú DNS ón réititheoir is gaire don úsáideoir ina leithéid de CDNs cuirfear ar ais seoladh an óstaigh is gaire don úsáideoir, ach má sheoltar ceist DNS ó réititheoir láraithe seolfar an seoladh ósta is gaire don fhreastalaí DNS-thar-HTTPS ar ais . Léiríodh i dtástálacha go praiticiúil nach raibh mórán moille ar bith roimh thús an aistrithe ábhair mar gheall ar úsáid DNS-over-HTTP agus CDN á úsáid (le haghaidh naisc thapa, níor sháraigh moilleanna 10 milleasoicind, agus breathnaíodh feidhmíocht níos tapúla fós ar bhealaí cumarsáide mall. ). Breathnaíodh freisin ar úsáid an tsíneadh Folíon Cliant EDNS chun faisnéis faoi shuíomh an chliaint a sholáthar don réititheoir CDN.
Lig dúinn a mheabhrú gur féidir leis an DoH a bheith úsáideach chun sceitheadh faisnéise faoi na hainmneacha óstacha a iarrtar a chosc trí fhreastalaithe DNS soláthraithe, chun ionsaithe MITM a chomhrac agus trácht DNS a spoofing, chun bac a chur ar bhlocáil ag leibhéal DNS, nó chun obair a eagrú sa chás go ndéantar é. dodhéanta rochtain dhíreach a fháil ar fhreastalaithe DNS (mar shampla, agus tú ag obair trí sheachvótálaí). Más rud é i ngnáth-staid seoltar iarratais DNS go díreach chuig freastalaithe DNS atá sainmhínithe i gcumraíocht an chórais, ansin i gcás DoH, tá an t-iarratas chun seoladh IP an óstaigh a chinneadh cuimsithe i dtrácht HTTPS agus seolta chuig an bhfreastalaí HTTP, áit a bpróiseálann an réititheoir. iarratais tríd an Web API. Ní úsáideann an caighdeán DNSSEC atá ann faoi láthair criptiú ach chun an cliant agus an freastalaí a fhíordheimhniú, ach ní chosnaíonn sé trácht ó thascradh agus ní ráthaíonn sé rúndacht na n-iarratas.
Chun DoH a chumasú i about:config, ní mór duit luach na hathróige network.trr.mode a athrú, ar tacaíodh léi ó Firefox 60. Díchumasaíonn luach 0 DoH go hiomlán; 1 - úsáidtear DNS nó DoH, cibé acu is tapúla; 2 - Úsáidtear DoH de réir réamhshocraithe, agus úsáidtear DNS mar rogha chúltaca; 3 - ní úsáidtear ach DoH; 4 - modh scáthánaithe ina n-úsáidtear DoH agus DNS i gcomhthreo. De réir réamhshocraithe, úsáidtear freastalaí DNS CloudFlare, ach is féidir é a athrú tríd an bparaiméadar network.trr.uri, mar shampla, is féidir leat “https://dns.google.com/experimental” nó “https://9.9.9.9 .XNUMX/dns-query"
Foinse: oscailtenet.ru