Firefox programeri o završetku testiranja podrške za DNS preko HTTPS-a (DoH, DNS preko HTTPS) i namjeri da se ova tehnologija standardno omogući američkim korisnicima krajem rujna. Aktivacija će se provoditi postupno, u početku za nekoliko posto korisnika, a ako ne bude problema, postupno do 100%. Nakon što SAD bude pokriven, DoH će se razmotriti za uključivanje u druge zemlje.
Testovi provedeni tijekom godine pokazali su pouzdanost i dobru izvedbu usluge, a također su omogućili identificiranje nekih situacija u kojima DoH može dovesti do problema i razviti rješenja za njihovo zaobilaženje (na primjer, rastavljeno s optimizacijom prometa u mrežama za isporuku sadržaja, roditeljskim nadzorom i korporativnim internim DNS zonama).
Važnost enkripcije DNS prometa ocjenjuje se kao temeljno važan čimbenik u zaštiti korisnika, pa je odlučeno da se DoH uključi po defaultu, ali u prvoj fazi samo za korisnike iz Sjedinjenih Država. Nakon aktiviranja DoH-a, korisnik će primiti upozorenje koje će omogućiti, ako želi, odbijanje kontaktiranja centraliziranih DoH DNS poslužitelja i povratak na tradicionalnu shemu slanja nešifriranih zahtjeva DNS poslužitelju davatelja (umjesto distribuirane infrastrukture DNS rezolvera, DoH koristi vezanje na određenu DoH uslugu, što se može smatrati jednom točkom kvara).
Ako je DoH aktiviran, sustavi roditeljskog nadzora i korporativne mreže koji koriste strukturu DNS naziva samo za internu mrežu za rješavanje intranetskih adresa i korporativnih hostova mogu biti prekinuti. Za rješavanje problema s takvim sustavima dodan je sustav provjera koji automatski onemogućuje DoH. Provjere se provode svaki put kada se preglednik pokrene ili kada se otkrije promjena podmreže.
Automatski povratak na korištenje standardnog razrješavatelja operativnog sustava također je osiguran ako dođe do kvarova tijekom rješavanja putem DoH-a (na primjer, ako je dostupnost mreže s DoH pružateljem prekinuta ili dođe do kvarova u njegovoj infrastrukturi). Smisao takvih provjera je upitan, jer nitko ne sprječava napadače koji kontroliraju rad rezolvera ili su sposobni ometati promet da simulacijom sličnog ponašanja onemoguće enkripciju DNS prometa. Problem je riješen dodavanjem stavke “DoH always” u postavke (tiho neaktivno), kada je postavljeno, automatsko gašenje se ne primjenjuje, što je razuman kompromis.
Da bi se identificirali poslovni razrješivači, provjeravaju se atipične domene prve razine (TLD-ovi) i razlučivač sustava vraća intranet adrese. Kako bi se utvrdilo jesu li roditeljske kontrole omogućene, pokušava se razriješiti naziv exampleadultsite.com i ako rezultat ne odgovara stvarnom IP-u, smatra se da je blokiranje sadržaja za odrasle aktivno na DNS razini. Google i YouTube IP adrese također se provjeravaju kao znakovi da se vidi jesu li zamijenjene restrict.youtube.com, forcesafesearch.google.com i restrictmoderate.youtube.com. Dodatna Mozilla implementirati jedan testni host , koju ISP-ovi i usluge roditeljske kontrole mogu koristiti kao oznaku za onemogućavanje DoH-a (ako host nije otkriven, Firefox onemogućuje DoH).
Rad kroz jednu DoH uslugu također može potencijalno dovesti do problema s optimizacijom prometa u mrežama za isporuku sadržaja koje balansiraju promet pomoću DNS-a (DNS poslužitelj CDN mreže generira odgovor uzimajući u obzir adresu razrješitelja i pruža najbliži host za primanje sadržaja). Slanje DNS upita iz razlučivača koji je najbliži korisniku u takvim CDN-ovima rezultira vraćanjem adrese hosta koji je najbliži korisniku, ali slanje DNS upita iz centraliziranog razlučivača vratit će adresu glavnog računala najbližu DNS-over-HTTPS poslužitelju. . Testiranje u praksi pokazalo je da korištenje DNS-over-HTTP-a pri korištenju CDN-a nije dovelo do praktički nikakvih kašnjenja prije početka prijenosa sadržaja (za brze veze kašnjenja nisu prelazila 10 milisekundi, a još je brža izvedba uočena na sporim komunikacijskim kanalima ). Korištenje proširenja EDNS Client Subnet također je razmatrano za pružanje informacija o lokaciji klijenta CDN rezolveru.
Podsjetimo, DoH može biti koristan za sprječavanje curenja informacija o traženim nazivima hostova kroz DNS poslužitelje pružatelja usluga, borbu protiv MITM napada i lažiranja DNS prometa, suzbijanje blokiranja na DNS razini ili za organizaciju rada u slučaju da nemoguće je izravno pristupiti DNS poslužiteljima (na primjer, kada radite preko proxyja). Ako se u normalnoj situaciji DNS zahtjevi šalju izravno na DNS poslužitelje definirane u konfiguraciji sustava, tada se u slučaju DoH-a zahtjev za određivanje IP adrese glavnog računala enkapsulira u HTTPS promet i šalje HTTP poslužitelju, gdje rezolver obrađuje zahtjeva putem Web API-ja. Postojeći DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i poslužitelja, ali ne štiti promet od presretanja i ne jamči povjerljivost zahtjeva.
Da biste omogućili DoH u about:config, morate promijeniti vrijednost varijable network.trr.mode, koja je podržana od Firefoxa 60. Vrijednost 0 potpuno onemogućuje DoH; 1 - koristi se DNS ili DoH, što god je brže; 2 - DoH se koristi prema zadanim postavkama, a DNS se koristi kao rezervna opcija; 3 - koristi se samo DoH; 4 - način zrcaljenja u kojem se DoH i DNS koriste paralelno. Prema zadanim postavkama koristi se CloudFlare DNS poslužitelj, ali se može promijeniti putem parametra network.trr.uri, na primjer, možete postaviti “https://dns.google.com/experimental” ili “https://9.9.9.9 .XNUMX/dns-upit "
Izvor: opennet.ru