Firefox programeri
Nakon aktiviranja DoH-a, korisniku se prikazuje upozorenje koje omogućuje, po želji, odbijanje kontaktiranja centraliziranih DoH DNS poslužitelja i povratak na tradicionalnu shemu slanja nešifriranih upita DNS poslužitelju davatelja usluga. Umjesto distribuirane infrastrukture DNS rezolvera, DoH koristi vezanje na određenu DoH uslugu, što se može smatrati jednom točkom kvara. Trenutno se rad nudi preko dva DNS pružatelja - CloudFlare (zadano) i
Promijenite davatelja usluga ili onemogućite DoH
Podsjetimo se da DoH može biti koristan za sprječavanje curenja informacija o traženim imenima hostova kroz DNS poslužitelje pružatelja usluga, borbu protiv MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), suzbijanje blokiranja na razini DNS-a (DoH ne može zamijeniti VPN u području zaobilaženja blokiranja implementiranog na razini DPI) ili za organizaciju rada u slučaju da je nemoguće izravno pristupiti DNS poslužiteljima (na primjer, kada radite putem proxyja). Dok se u normalnoj situaciji DNS zahtjevi šalju izravno na DNS poslužitelje definirane u konfiguraciji sustava, u slučaju DoH-a, zahtjev za određivanjem IP adrese glavnog računala enkapsuliran je u HTTPS promet i poslan na HTTP poslužitelj, na kojem se rješavač obrađuje zahtjeve putem Web API-ja. Trenutačni DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i poslužitelja, ali ne štiti promet od presretanja i ne jamči povjerljivost zahtjeva.
Za odabir DoH pružatelja usluga ponuđenih u Firefoxu,
DoH treba koristiti s oprezom. Na primjer, u Ruskoj Federaciji, IP adrese 104.16.248.249 i 104.16.249.249 povezane sa zadanim DoH poslužiteljem mozilla.cloudflare-dns.com koji se nudi u Firefoxu,
DoH također može uzrokovati probleme u područjima kao što su sustavi roditeljske kontrole, pristup internim imenskim prostorima u korporativnim sustavima, odabir rute u sustavima za optimizaciju isporuke sadržaja i poštivanje sudskih naloga u području borbe protiv distribucije ilegalnog sadržaja i iskorištavanja maloljetnici. Kako bi se zaobišli takvi problemi, implementiran je i testiran sustav provjere koji automatski onemogućuje DoH pod određenim uvjetima.
Da bi se identificirali poslovni razrješivači, provjeravaju se atipične domene prve razine (TLD-ovi) i razlučivač sustava vraća intranet adrese. Kako bi se utvrdilo jesu li roditeljske kontrole omogućene, pokušava se razriješiti naziv exampleadultsite.com i ako rezultat ne odgovara stvarnom IP-u, smatra se da je blokiranje sadržaja za odrasle aktivno na DNS razini. Google i YouTube IP adrese također se provjeravaju kao znakovi da se vidi jesu li zamijenjene restrict.youtube.com, forcesafesearch.google.com i restrictmoderate.youtube.com. Ove provjere omogućuju napadačima koji kontroliraju rad razrješitelja ili su sposobni ometati promet da simuliraju takvo ponašanje kako bi onemogućili enkripciju DNS prometa.
Rad kroz jednu DoH uslugu također može potencijalno dovesti do problema s optimizacijom prometa u mrežama za isporuku sadržaja koje balansiraju promet pomoću DNS-a (DNS poslužitelj CDN mreže generira odgovor uzimajući u obzir adresu razrješitelja i pruža najbliži host za primanje sadržaja). Slanje DNS upita iz razlučivača koji je najbliži korisniku u takvim CDN-ovima rezultira vraćanjem adrese hosta koji je najbliži korisniku, ali slanje DNS upita iz centraliziranog razlučivača vratit će adresu glavnog računala najbližu DNS-over-HTTPS poslužitelju. . Testiranje u praksi pokazalo je da korištenje DNS-over-HTTP-a pri korištenju CDN-a nije dovelo do praktički nikakvih kašnjenja prije početka prijenosa sadržaja (za brze veze kašnjenja nisu prelazila 10 milisekundi, a još je brža izvedba uočena na sporim komunikacijskim kanalima ). Korištenje proširenja EDNS Client Subnet također je razmatrano za pružanje informacija o lokaciji klijenta CDN rezolveru.
Izvor: opennet.ru