Firefox fejlesztők a DNS HTTPS-n keresztüli tesztelésének befejezéséről (DoH, DNS over HTTPS), valamint arról a szándékról, hogy szeptember végén alapértelmezés szerint engedélyezni fogják ezt a technológiát az egyesült államokbeli felhasználók számára. Az aktiválás fokozatosan történik, kezdetben a felhasználók néhány százalékánál, és ha nincs probléma, fokozatosan 100%-ra növelve. Amint az Egyesült Államok is lefedett, a DoH más országokban is megfontolandó.
Az egész évben elvégzett tesztek kimutatták a szolgáltatás megbízhatóságát és jó teljesítményét, és lehetővé tették néhány olyan helyzet azonosítását, ahol a DoH problémákhoz vezethet, és megoldásokat dolgoztak ki ezek megkerülésére (például szétszerelt állapotban). forgalomoptimalizálással a tartalomszolgáltató hálózatokban, a szülői felügyelettel és a vállalati belső DNS-zónákban).
A DNS-forgalom titkosításának fontosságát a felhasználók védelmében alapvetően fontos tényezőként értékelik, ezért úgy döntöttek, hogy alapértelmezés szerint engedélyezik a DoH-t, de első lépésben csak az Egyesült Államokból érkező felhasználók számára. A DoH aktiválása után a felhasználó figyelmeztetést kap, amely lehetővé teszi, hogy ha kívánja, megtagadja a kapcsolatfelvételt a központi DoH DNS-kiszolgálókkal, és visszatérjen a hagyományos kódolás nélküli kérelmek szolgáltató DNS-szerverére történő küldéséhez (a DNS-feloldók elosztott infrastruktúrája helyett, A DoH egy adott DoH-szolgáltatáshoz való kötődést alkalmaz, ami egyetlen hibapontnak tekinthető).
Ha a DoH aktiválva van, a szülői felügyeleti rendszerek és a vállalati hálózatok, amelyek az intranetes címek és a vállalati gazdagépek feloldásához a belső, csak hálózaton alapuló DNS névstruktúrát használják, megszakadhatnak. Az ilyen rendszerekkel kapcsolatos problémák megoldására egy olyan ellenőrzési rendszert egészítettek ki, amely automatikusan letiltja a DoH-t. Az ellenőrzések minden alkalommal megtörténnek, amikor a böngésző elindul, vagy ha alhálózati változást észlel.
A szabványos operációs rendszer-feloldó használatához való automatikus visszatérés akkor is biztosított, ha a DoH-n keresztüli feloldás során hibák lépnek fel (például ha a DoH-szolgáltatónál megszakad a hálózat elérhetősége, vagy meghibásodások lépnek fel az infrastruktúrájában). Az ilyen ellenőrzések értelme kérdéses, mivel senki sem akadályozza meg a feloldó működését irányító vagy a forgalmat zavarni képes támadókat abban, hogy hasonló viselkedést szimuláljanak a DNS-forgalom titkosításának letiltására. A problémát úgy oldották meg, hogy a beállításokhoz hozzáadtuk a „DoH always” elemet (néma inaktív), ha be van állítva, az automatikus leállítás nem kerül alkalmazásra, ami ésszerű kompromisszum.
A vállalati feloldók azonosításához a rendszer ellenőrzi az atipikus első szintű tartományokat (TLD), és a rendszerfeloldó intranet címeket ad vissza. Annak megállapításához, hogy a szülői felügyelet engedélyezve van-e, megkísérlik feloldani az exampleadultsite.com nevet, és ha az eredmény nem egyezik a tényleges IP-címmel, a rendszer úgy tekinti, hogy a felnőtt tartalom blokkolása aktív DNS-szinten. A Google és a YouTube IP-címeit is ellenőrzik, hogy megbizonyosodjanak arról, hogy lecserélték-e őket a korlátoz.youtube.com, a forcesafesearch.google.com és a limitedmoderate.youtube.com címekre. További Mozilla egyetlen tesztállomást valósítson meg , amelyet az internetszolgáltatók és a szülői felügyeleti szolgáltatások jelzőként használhatnak a DoH letiltásához (ha a gazdagép nem észlelhető, a Firefox letiltja a DoH-t).
Egyetlen DoH-szolgáltatáson keresztüli munka is problémákhoz vezethet a forgalomoptimalizálás során azokban a tartalomszolgáltató hálózatokban, amelyek a forgalmat DNS-sel kiegyenlítik (a CDN-hálózat DNS-kiszolgálója a feloldó címének figyelembevételével generál választ, és a legközelebbi gazdagépet biztosítja a tartalom fogadásához). Ha DNS-lekérdezést küldünk a felhasználóhoz legközelebbi feloldóról az ilyen CDN-ekben, akkor a felhasználóhoz legközelebb eső gazdagép címét adjuk vissza, de ha egy központi feloldóból küldünk DNS-lekérdezést, az a DNS-over-HTTPS-kiszolgálóhoz legközelebbi gazdagép címét adja vissza. . A gyakorlati tesztelés azt mutatta, hogy a DNS-over-HTTP használata CDN használatakor gyakorlatilag nem okozott késéseket a tartalomátvitel megkezdése előtt (gyors kapcsolatoknál a késések nem haladták meg a 10 ezredmásodpercet, és a lassú kommunikációs csatornákon még gyorsabb teljesítmény volt megfigyelhető ). Az EDNS Client Subnet-bővítmény használatát úgy tekintették, hogy az ügyfél helyére vonatkozó információkat biztosítson a CDN-feloldó számára.
Emlékezzünk vissza, hogy a DoH hasznos lehet a kért gazdagépnevekkel kapcsolatos információk kiszivárogtatásának megakadályozására a szolgáltatók DNS-kiszolgálóin keresztül, az MITM-támadások és a DNS-forgalom meghamisítása elleni küzdelemben, a DNS-szintű blokkolások leküzdésében, vagy a munka megszervezésében abban az esetben, ha lehetetlen közvetlenül hozzáférni a DNS-kiszolgálókhoz (például, ha proxyn keresztül dolgozik). Ha normál helyzetben a DNS kérések közvetlenül a rendszerkonfigurációban meghatározott DNS szerverekhez kerülnek, akkor DoH esetén a gazdagép IP-címének meghatározására irányuló kérés HTTPS forgalomba kerül, és elküldésre kerül a HTTP szerverre, ahol a feloldó feldolgozza. kéréseket a webes API-n keresztül. A meglévő DNSSEC szabvány csak a kliens és a szerver hitelesítésére használ titkosítást, de nem védi a forgalmat az elfogástól, és nem garantálja a kérések titkosságát.
A DoH engedélyezéséhez az about:config-ban meg kell változtatni a network.trr.mode változó értékét, amely a Firefox 60 óta támogatott. A 0 érték teljesen letiltja a DoH-t; 1 – DNS vagy DoH használatban van, amelyik a gyorsabb; 2 - Alapértelmezés szerint a DoH, a DNS pedig tartalék opcióként; 3 - csak a DoH használatos; 4 - tükrözési mód, amelyben a DoH és a DNS párhuzamosan használatos. Alapértelmezés szerint a CloudFlare DNS-kiszolgálót használják, de ez módosítható a network.trr.uri paraméteren keresztül, például beállíthatja a „https://dns.google.com/experimental” vagy „https://9.9.9.9” .XNUMX/dns-query "
Forrás: opennet.ru