Desenvolvedores de Firefox sobre a finalización das probas de compatibilidade con DNS sobre HTTPS (DoH, DNS sobre HTTPS) e a intención de habilitar esta tecnoloxía por defecto para os usuarios estadounidenses a finais de setembro. A activación realizarase de forma progresiva, inicialmente para un pouco por cento dos usuarios, e se non hai problemas, aumentando paulatinamente ata o 100%. Unha vez que os EUA estean cubertos, considerarase DoH para a súa inclusión noutros países.
As probas realizadas ao longo do ano demostraron a fiabilidade e o bo rendemento do servizo, e tamén permitiron identificar algunhas situacións nas que o DoH pode dar lugar a problemas e desenvolver solucións para evitalos (por exemplo, desmontados). con optimización do tráfico en redes de entrega de contidos, controis parentais e zonas DNS internas corporativas).
A importancia de cifrar o tráfico DNS avalíase como un factor fundamentalmente importante na protección dos usuarios, polo que se decidiu habilitar DoH por defecto, pero na primeira fase só para usuarios dos Estados Unidos. Despois de activar DoH, o usuario recibirá un aviso que permitirá, se o desexa, rexeitar contactar cos servidores DNS DoH centralizados e volver ao esquema tradicional de envío de solicitudes sen cifrar ao servidor DNS do provedor (en lugar dunha infraestrutura distribuída de resolutores DNS, DoH usa a vinculación a un servizo específico de DoH, que pode considerarse un único punto de falla).
Se se activa DoH, os sistemas de control parental e as redes corporativas que utilizan a estrutura de nomes DNS de rede interna para resolver enderezos de intranet e hosts corporativos poden verse interrompidos. Para resolver problemas con tales sistemas, engadiuse un sistema de comprobacións que desactiva automaticamente DoH. As comprobacións realízanse cada vez que se inicia o navegador ou cando se detecta un cambio de subrede.
Tamén se proporciona un retorno automático ao uso do resolvedor estándar do sistema operativo se se producen fallos durante a resolución mediante DoH (por exemplo, se se interrompe a dispoñibilidade da rede co provedor de DoH ou se producen fallos na súa infraestrutura). O significado destas comprobacións é cuestionable, xa que ninguén impide que os atacantes que controlan o funcionamento do resolutor ou que son capaces de interferir no tráfico simulan un comportamento semellante para desactivar o cifrado do tráfico DNS. O problema resolveuse engadindo o elemento "DoH sempre" á configuración (silenciosamente inactivo), cando se estableceu, non se aplica o apagado automático, o que é un compromiso razoable.
Para identificar os resolvedores empresariais, compróbanse os dominios de primeiro nivel (TLD) atípicos e o resolvedor do sistema devolve os enderezos da intranet. Para determinar se os controis parentais están activados, inténtase resolver o nome exampleadultsite.com e se o resultado non coincide coa IP real, considérase que o bloqueo de contido para adultos está activo a nivel DNS. Os enderezos IP de Google e YouTube tamén se verifican como sinais para ver se foron substituídos por restrict.youtube.com, forcesafesearch.google.com e restrictmoderate.youtube.com. Mozilla adicional implementar un único host de proba , que os ISP e os servizos de control parental poden usar como marca para desactivar DoH (se non se detecta o host, Firefox desactiva DoH).
Traballar a través dun único servizo DoH tamén pode provocar problemas coa optimización do tráfico en redes de entrega de contidos que equilibran o tráfico mediante DNS (o servidor DNS da rede CDN xera unha resposta, tendo en conta o enderezo de resolución e proporciona o servidor máis próximo para recibir o contido). . O envío dunha consulta DNS desde o resolvedor máis próximo ao usuario nestes CDN ten como resultado o enderezo do host máis próximo ao usuario, pero o envío dunha consulta DNS desde un resolvedor centralizado devolverá o enderezo do host máis próximo ao servidor DNS sobre HTTPS. . As probas na práctica demostraron que o uso de DNS sobre HTTP cando se usa un CDN non provocou ningún atraso antes do inicio da transferencia de contido (para conexións rápidas, os atrasos non superaban os 10 milisegundos e observouse un rendemento aínda máis rápido nas canles de comunicación lentas). ). Tamén se considerou o uso da extensión da subrede do cliente EDNS para proporcionar información de localización do cliente ao resolver CDN.
Lembremos que DoH pode ser útil para evitar filtracións de información sobre os nomes de host solicitados a través dos servidores DNS dos provedores, combater ataques MITM e suplantación de tráfico DNS, contrarrestar o bloqueo a nivel de DNS ou para organizar o traballo no caso de que é imposible acceder directamente aos servidores DNS (por exemplo, cando se traballa a través dun proxy). Se nunha situación normal as solicitudes de DNS envíanse directamente aos servidores DNS definidos na configuración do sistema, entón no caso de DoH, a solicitude para determinar o enderezo IP do host encápsulase no tráfico HTTPS e envíase ao servidor HTTP, onde o resolutor procesa. solicitudes a través da API web. O estándar DNSSEC existente usa o cifrado só para autenticar o cliente e o servidor, pero non protexe o tráfico da intercepción e non garante a confidencialidade das solicitudes.
Para habilitar DoH en about:config, debes cambiar o valor da variable network.trr.mode, que se admite desde Firefox 60. Un valor de 0 desactiva DoH por completo; 1 - Úsase DNS ou DoH, o que sexa máis rápido; 2 - DoH úsase por defecto e DNS úsase como opción alternativa; 3 - só se usa DoH; 4 - modo de espello no que se usan DoH e DNS en paralelo. De forma predeterminada, úsase o servidor DNS de CloudFlare, pero pódese cambiar a través do parámetro network.trr.uri, por exemplo, pode configurar "https://dns.google.com/experimental" ou "https://9.9.9.9". .XNUMX/dns-query "
Fonte: opennet.ru