Firefox programeri o omogućavanju DNS-a preko HTTPS-a (DoH, DNS preko HTTPS-a) prema zadanim postavkama za korisnike u SAD-u. Enkripcija DNS prometa smatra se fundamentalno važnim faktorom u zaštiti korisnika. Počevši od danas, sve nove instalacije korisnika iz SAD-a imat će prema zadanim postavkama omogućen DoH. Postojeći korisnici iz SAD-a trebali bi prijeći na DoH u roku od nekoliko tjedana. U Europskoj uniji i drugim zemljama za sada aktivirajte DoH prema zadanim postavkama .
Nakon aktiviranja DoH-a, korisniku se prikazuje upozorenje koje omogućuje, po želji, odbijanje kontaktiranja centraliziranih DoH DNS poslužitelja i povratak na tradicionalnu shemu slanja nešifriranih upita DNS poslužitelju davatelja usluga. Umjesto distribuirane infrastrukture DNS rezolvera, DoH koristi vezanje na određenu DoH uslugu, što se može smatrati jednom točkom kvara. Trenutno se rad nudi preko dva DNS pružatelja - CloudFlare (zadano) i .
Promijenite davatelja usluga ili onemogućite DoH u postavkama mrežne veze. Na primjer, možete navesti alternativni DoH poslužitelj “https://dns.google/dns-query” za pristup Googleovim poslužiteljima, “https://dns.quad9.net/dns-query” - Quad9 i “https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config također nudi postavku network.trr.mode, preko koje možete promijeniti način rada DoH: vrijednost 0 potpuno onemogućuje DoH; 1 - koristi se DNS ili DoH, što god je brže; 2 - DoH se koristi prema zadanim postavkama, a DNS se koristi kao rezervna opcija; 3 - koristi se samo DoH; 4 - način zrcaljenja u kojem se DoH i DNS koriste paralelno.
Podsjetimo se da DoH može biti koristan za sprječavanje curenja informacija o traženim imenima hostova kroz DNS poslužitelje pružatelja usluga, borbu protiv MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), suzbijanje blokiranja na razini DNS-a (DoH ne može zamijeniti VPN u području zaobilaženja blokiranja implementiranog na razini DPI) ili za organizaciju rada u slučaju da je nemoguće izravno pristupiti DNS poslužiteljima (na primjer, kada radite putem proxyja). Dok se u normalnoj situaciji DNS zahtjevi šalju izravno na DNS poslužitelje definirane u konfiguraciji sustava, u slučaju DoH-a, zahtjev za određivanjem IP adrese glavnog računala enkapsuliran je u HTTPS promet i poslan na HTTP poslužitelj, na kojem se rješavač obrađuje zahtjeve putem Web API-ja. Trenutačni DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i poslužitelja, ali ne štiti promet od presretanja i ne jamči povjerljivost zahtjeva.
Za odabir DoH pružatelja usluga ponuđenih u Firefoxu, pouzdanim DNS rezolverima, prema kojima DNS operater može koristiti primljene podatke za rješavanje samo za osiguranje rada usluge, ne smije pohranjivati zapise dulje od 24 sata, ne može prenositi podatke trećim stranama, te je dužan otkriti informacije o metodama obrade podataka. Usluga se također mora obvezati da neće cenzurirati, filtrirati, ometati ili blokirati DNS promet, osim ako to zahtijeva zakon.
DoH treba koristiti s oprezom. Na primjer, u Ruskoj Federaciji, IP adrese 104.16.248.249 i 104.16.249.249 povezane sa zadanim DoH poslužiteljem mozilla.cloudflare-dns.com koji se nudi u Firefoxu, в na zahtjev Stavropoljskog suda od 10.06.2013.
DoH također može uzrokovati probleme u područjima kao što su sustavi roditeljske kontrole, pristup internim imenskim prostorima u korporativnim sustavima, odabir rute u sustavima za optimizaciju isporuke sadržaja i poštivanje sudskih naloga u području borbe protiv distribucije ilegalnog sadržaja i iskorištavanja maloljetnici. Kako bi se zaobišli takvi problemi, implementiran je i testiran sustav provjere koji automatski onemogućuje DoH pod određenim uvjetima.
Da bi se identificirali poslovni razrješivači, provjeravaju se atipične domene prve razine (TLD-ovi) i razlučivač sustava vraća intranet adrese. Kako bi se utvrdilo jesu li roditeljske kontrole omogućene, pokušava se razriješiti naziv exampleadultsite.com i ako rezultat ne odgovara stvarnom IP-u, smatra se da je blokiranje sadržaja za odrasle aktivno na DNS razini. Google i YouTube IP adrese također se provjeravaju kao znakovi da se vidi jesu li zamijenjene restrict.youtube.com, forcesafesearch.google.com i restrictmoderate.youtube.com. Ove provjere omogućuju napadačima koji kontroliraju rad razrješitelja ili su sposobni ometati promet da simuliraju takvo ponašanje kako bi onemogućili enkripciju DNS prometa.
Rad kroz jednu DoH uslugu također može potencijalno dovesti do problema s optimizacijom prometa u mrežama za isporuku sadržaja koje balansiraju promet pomoću DNS-a (DNS poslužitelj CDN mreže generira odgovor uzimajući u obzir adresu razrješitelja i pruža najbliži host za primanje sadržaja). Slanje DNS upita iz razlučivača koji je najbliži korisniku u takvim CDN-ovima rezultira vraćanjem adrese hosta koji je najbliži korisniku, ali slanje DNS upita iz centraliziranog razlučivača vratit će adresu glavnog računala najbližu DNS-over-HTTPS poslužitelju. . Testiranje u praksi pokazalo je da korištenje DNS-over-HTTP-a pri korištenju CDN-a nije dovelo do praktički nikakvih kašnjenja prije početka prijenosa sadržaja (za brze veze kašnjenja nisu prelazila 10 milisekundi, a još je brža izvedba uočena na sporim komunikacijskim kanalima ). Korištenje proširenja EDNS Client Subnet također je razmatrano za pružanje informacija o lokaciji klijenta CDN rezolveru.
Izvor: opennet.ru