Desenvolvedores de Firefox sobre a activación do modo DNS sobre HTTPS (DoH, DNS sobre HTTPS) de forma predeterminada para os usuarios estadounidenses. O cifrado do tráfico DNS considérase un factor fundamentalmente importante na protección dos usuarios. A partir de hoxe, todas as novas instalacións dos usuarios estadounidenses terán DoH activado de forma predeterminada. Está previsto que os usuarios existentes de EE. UU. cambien a DoH nunhas poucas semanas. Na Unión Europea e noutros países, activa DoH de forma predeterminada polo momento .
Despois de activar DoH, móstrase ao usuario un aviso que permite, se o desexa, rexeitar contactar cos servidores DNS DoH centralizados e volver ao esquema tradicional de envío de consultas sen cifrar ao servidor DNS do provedor. En lugar dunha infraestrutura distribuída de resolutores de DNS, DoH usa unha ligazón a un servizo específico de DoH, que pode considerarse un único punto de falla. Actualmente, o traballo ofrécese a través de dous provedores de DNS: CloudFlare (predeterminado) e .
Cambia de provedor ou desactiva DoH na configuración de conexión de rede. Por exemplo, pode especificar un servidor DoH alternativo "https://dns.google/dns-query" para acceder aos servidores de Google, "https://dns.quad9.net/dns-query" - Quad9 e "https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config tamén proporciona a configuración network.trr.mode, a través da cal pode cambiar o modo de funcionamento DoH: un valor de 0 desactiva completamente o DoH; 1 - Úsase DNS ou DoH, o que sexa máis rápido; 2 - DoH úsase por defecto e DNS úsase como opción alternativa; 3 - só se usa DoH; 4 - modo de espello no que se usan DoH e DNS en paralelo.
Lembremos que DoH pode ser útil para evitar filtracións de información sobre os nomes de host solicitados a través dos servidores DNS dos provedores, combater ataques MITM e suplantación de tráfico DNS (por exemplo, cando se conecta a wifi pública), contrarrestar o bloqueo no DNS. nivel (DoH non pode substituír unha VPN na área de evitar o bloqueo implementado a nivel de DPI) ou para organizar o traballo se é imposible acceder directamente aos servidores DNS (por exemplo, cando se traballa a través dun proxy). Se nunha situación normal, as solicitudes DNS envíanse directamente aos servidores DNS definidos na configuración do sistema, entón no caso de DoH, a solicitude para determinar o enderezo IP do host encápsulase no tráfico HTTPS e envíase ao servidor HTTP, onde o resolutor procesa. solicitudes a través da API web. O estándar DNSSEC existente usa o cifrado só para autenticar o cliente e o servidor, pero non protexe o tráfico da intercepción e non garante a confidencialidade das solicitudes.
Para seleccionar os provedores de DoH ofrecidos en Firefox, a resolutores DNS fiables, segundo os cales o operador DNS pode usar os datos recibidos para a resolución só para garantir o funcionamento do servizo, non debe almacenar rexistros durante máis de 24 horas, non pode transferir datos a terceiros e está obrigado a revelar información sobre métodos de tratamento de datos. O servizo tamén debe aceptar non censurar, filtrar, interferir ou bloquear o tráfico DNS, salvo nas situacións previstas pola lei.
DoH debe usarse con precaución. Por exemplo, na Federación Rusa, os enderezos IP 104.16.248.249 e 104.16.249.249 asociados co servidor DoH predeterminado mozilla.cloudflare-dns.com ofrecido en Firefox, в a petición do tribunal de Stavropol de data 10.06.2013.
DoH tamén pode causar problemas en áreas como os sistemas de control parental, o acceso a espazos de nomes internos en sistemas corporativos, a selección de rutas nos sistemas de optimización de entrega de contidos e o cumprimento de ordes xudiciais na área de loita contra a distribución de contidos ilícitos e a explotación de menores. Para evitar estes problemas, implementouse e probouse un sistema de verificación que desactiva automaticamente DoH en determinadas condicións.
Para identificar os resolvedores empresariais, compróbanse os dominios de primeiro nivel (TLD) atípicos e o resolvedor do sistema devolve os enderezos da intranet. Para determinar se os controis parentais están activados, inténtase resolver o nome exampleadultsite.com e se o resultado non coincide coa IP real, considérase que o bloqueo de contido para adultos está activo a nivel DNS. Os enderezos IP de Google e YouTube tamén se verifican como sinais para ver se foron substituídos por restrict.youtube.com, forcesafesearch.google.com e restrictmoderate.youtube.com. Estas comprobacións permiten aos atacantes que controlan o funcionamento do resolver ou que son capaces de interferir co tráfico simular tal comportamento para desactivar o cifrado do tráfico DNS.
Traballar a través dun único servizo DoH tamén pode provocar problemas coa optimización do tráfico en redes de entrega de contidos que equilibran o tráfico mediante DNS (o servidor DNS da rede CDN xera unha resposta, tendo en conta o enderezo de resolución e proporciona o servidor máis próximo para recibir o contido). . O envío dunha consulta DNS desde o resolvedor máis próximo ao usuario nestes CDN ten como resultado o enderezo do host máis próximo ao usuario, pero o envío dunha consulta DNS desde un resolvedor centralizado devolverá o enderezo do host máis próximo ao servidor DNS sobre HTTPS. . As probas na práctica demostraron que o uso de DNS sobre HTTP cando se usa un CDN non provocou ningún atraso antes do inicio da transferencia de contido (para conexións rápidas, os atrasos non superaban os 10 milisegundos e observouse un rendemento aínda máis rápido nas canles de comunicación lentas). ). Tamén se considerou o uso da extensión da subrede do cliente EDNS para proporcionar información de localización do cliente ao resolver CDN.
Fonte: opennet.ru