Firefox fejlesztők a DNS HTTPS-n keresztüli (DoH, DNS over HTTPS) mód alapértelmezés szerinti engedélyezéséről az egyesült államokbeli felhasználók számára. A DNS-forgalom titkosítása alapvetően fontos tényező a felhasználók védelmében. Mától kezdve az egyesült államokbeli felhasználók minden új telepítésénél alapértelmezés szerint engedélyezve lesz a DoH. A jelenlegi amerikai felhasználókat a tervek szerint néhány héten belül átállítják a DoH-ra. Az Európai Unióban és más országokban egyelőre alapértelmezés szerint aktiválja a DoH-t .
A DoH aktiválása után egy figyelmeztetés jelenik meg a felhasználó számára, amely lehetővé teszi, hogy megtagadja a központosított DoH DNS-kiszolgálókkal való kapcsolatfelvételt, és visszatérjen a hagyományos kódolatlan lekérdezések szolgáltató DNS-kiszolgálójára történő küldésének sémájához. A DNS-feloldók elosztott infrastruktúrája helyett a DoH egy adott DoH-szolgáltatáshoz való kötést használ, amely egyetlen hibapontnak tekinthető. Jelenleg a munkát két DNS-szolgáltató kínálja - a CloudFlare (alapértelmezett) és .
Váltson szolgáltatót vagy tiltsa le a DoH-t a hálózati kapcsolat beállításainál. Például megadhat egy alternatív DoH-szervert „https://dns.google/dns-query” a Google szervereinek eléréséhez, „https://dns.quad9.net/dns-query” - Quad9 és „https:/ /doh .opendns.com/dns-query" - OpenDNS. Az About:config biztosítja a network.trr.mode beállítást is, amelyen keresztül módosíthatja a DoH üzemmódot: a 0 érték teljesen letiltja a DoH-t; 1 – DNS vagy DoH használatban van, amelyik a gyorsabb; 2 - Alapértelmezés szerint a DoH, a DNS pedig tartalék opcióként; 3 - csak a DoH használatos; 4 - tükrözési mód, amelyben a DoH és a DNS párhuzamosan használatos.
Emlékezzünk vissza, hogy a DoH hasznos lehet a kért gazdagépnevekkel kapcsolatos információk kiszivárogtatásának megakadályozására a szolgáltatók DNS-kiszolgálóin keresztül, a MITM-támadások és a DNS-forgalom meghamisítása elleni küzdelemben (például nyilvános Wi-Fi-hez való csatlakozáskor), a DNS-blokkolások elleni küzdelemben. szinten (a DoH nem helyettesítheti a VPN-t a DPI-szinten megvalósított blokkolás megkerülésének területén) vagy a munka megszervezéséhez, ha lehetetlen közvetlenül hozzáférni a DNS-kiszolgálókhoz (például proxy-n keresztül végzett munka során). Ha normál helyzetben a DNS kérések közvetlenül a rendszerkonfigurációban meghatározott DNS szerverekhez kerülnek, akkor DoH esetén a gazdagép IP-címének meghatározására irányuló kérés HTTPS forgalomba kerül, és elküldésre kerül a HTTP szerverre, ahol a feloldó feldolgozza. kéréseket a webes API-n keresztül. A meglévő DNSSEC szabvány csak a kliens és a szerver hitelesítésére használ titkosítást, de nem védi a forgalmat az elfogástól, és nem garantálja a kérések titkosságát.
A Firefoxban kínált DoH-szolgáltatók kiválasztásához megbízható DNS-feloldóknak, mely szerint a DNS-üzemeltető a feloldáshoz kapott adatokat kizárólag a szolgáltatás működésének biztosítására használhatja fel, 24 óránál tovább nem tárolhat naplókat, nem adhat át adatokat harmadik félnek, valamint köteles a adatfeldolgozási módszerek. A szolgáltatásnak azt is el kell fogadnia, hogy nem cenzúrázza, nem szűri, nem zavarja vagy blokkolja a DNS-forgalmat, kivéve a törvényben előírt helyzeteket.
A DoH-t óvatosan kell használni. Például az Orosz Föderációban a 104.16.248.249 és 104.16.249.249 IP-címek a mozilla.cloudflare-dns.com alapértelmezett DoH-szerverhez vannak társítva a Firefoxban, в a sztavropoli bíróság 10.06.2013. június XNUMX-i kérelmére.
A DoH problémákat okozhat olyan területeken is, mint a szülői felügyeleti rendszerek, a belső névterekhez való hozzáférés a vállalati rendszerekben, az útvonalválasztás a tartalomszolgáltatás-optimalizáló rendszerekben, valamint a bírósági végzések betartása az illegális tartalom terjesztése és a kizsákmányolás elleni küzdelem terén. kiskorúak. Az ilyen problémák megkerülésére egy ellenőrző rendszert vezettek be és teszteltek, amely bizonyos feltételek mellett automatikusan letiltja a DoH-t.
A vállalati feloldók azonosításához a rendszer ellenőrzi az atipikus első szintű tartományokat (TLD), és a rendszerfeloldó intranet címeket ad vissza. Annak megállapításához, hogy a szülői felügyelet engedélyezve van-e, megkísérlik feloldani az exampleadultsite.com nevet, és ha az eredmény nem egyezik a tényleges IP-címmel, a rendszer úgy tekinti, hogy a felnőtt tartalom blokkolása aktív DNS-szinten. A Google és a YouTube IP-címeit is ellenőrzik, hogy megbizonyosodjanak arról, hogy lecserélték-e őket a korlátoz.youtube.com, a forcesafesearch.google.com és a limitedmoderate.youtube.com címekre. Ezek az ellenőrzések lehetővé teszik a feloldó működését irányító vagy a forgalmat megzavarni képes támadók számára, hogy szimulálják az ilyen viselkedést, és letiltsák a DNS-forgalom titkosítását.
Egyetlen DoH-szolgáltatáson keresztüli munka is problémákhoz vezethet a forgalomoptimalizálás során azokban a tartalomszolgáltató hálózatokban, amelyek a forgalmat DNS-sel kiegyenlítik (a CDN-hálózat DNS-kiszolgálója a feloldó címének figyelembevételével generál választ, és a legközelebbi gazdagépet biztosítja a tartalom fogadásához). Ha DNS-lekérdezést küldünk a felhasználóhoz legközelebbi feloldóról az ilyen CDN-ekben, akkor a felhasználóhoz legközelebb eső gazdagép címét adjuk vissza, de ha egy központi feloldóból küldünk DNS-lekérdezést, az a DNS-over-HTTPS-kiszolgálóhoz legközelebbi gazdagép címét adja vissza. . A gyakorlati tesztelés azt mutatta, hogy a DNS-over-HTTP használata CDN használatakor gyakorlatilag nem okozott késéseket a tartalomátvitel megkezdése előtt (gyors kapcsolatoknál a késések nem haladták meg a 10 ezredmásodpercet, és a lassú kommunikációs csatornákon még gyorsabb teljesítmény volt megfigyelhető ). Az EDNS Client Subnet-bővítmény használatát úgy tekintették, hogy az ügyfél helyére vonatkozó információkat biztosítson a CDN-feloldó számára.
Forrás: opennet.ru