Pengembang Firefox tentang mengaktifkan mode DNS melalui HTTPS (DoH, DNS melalui HTTPS) secara default untuk pengguna AS. Enkripsi lalu lintas DNS dianggap sebagai faktor fundamental penting dalam melindungi pengguna. Mulai hari ini, semua instalasi baru oleh pengguna AS akan mengaktifkan DoH secara default. Pengguna AS yang ada dijadwalkan akan dialihkan ke DoH dalam beberapa minggu. Di Uni Eropa dan negara lain, aktifkan DoH secara default untuk saat ini .
Setelah mengaktifkan DoH, peringatan ditampilkan kepada pengguna, yang memungkinkan, jika diinginkan, menolak untuk menghubungi server DNS DoH terpusat dan kembali ke skema tradisional mengirimkan kueri tidak terenkripsi ke server DNS penyedia. Alih-alih infrastruktur pemecah DNS yang terdistribusi, DoH menggunakan pengikatan ke layanan DoH tertentu, yang dapat dianggap sebagai satu titik kegagalan. Saat ini, pekerjaan ditawarkan melalui dua penyedia DNS - CloudFlare (default) dan .
Ubah penyedia atau nonaktifkan DoH dalam pengaturan koneksi jaringan. Misalnya, Anda dapat menentukan server DoH alternatif “https://dns.google/dns-query” untuk mengakses server Google, “https://dns.quad9.net/dns-query” - Quad9 dan “https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config juga menyediakan pengaturan network.trr.mode, yang melaluinya Anda dapat mengubah mode operasi DoH: nilai 0 menonaktifkan DoH sepenuhnya; 1 - DNS atau DoH digunakan, mana yang lebih cepat; 2 - DoH digunakan secara default, dan DNS digunakan sebagai opsi cadangan; 3 - hanya DoH yang digunakan; 4 - mode mirroring di mana DoH dan DNS digunakan secara paralel.
Ingatlah bahwa DoH dapat berguna untuk mencegah kebocoran informasi tentang nama host yang diminta melalui server DNS penyedia, melawan serangan MITM dan spoofing lalu lintas DNS (misalnya, saat menyambung ke Wi-Fi publik), melawan pemblokiran di DNS level (DoH tidak dapat menggantikan VPN di area bypass pemblokiran yang diterapkan pada level DPI) atau untuk mengatur pekerjaan jika tidak mungkin mengakses server DNS secara langsung (misalnya, saat bekerja melalui proxy). Jika dalam situasi normal permintaan DNS langsung dikirim ke server DNS yang ditentukan dalam konfigurasi sistem, maka dalam kasus DoH, permintaan untuk menentukan alamat IP host dienkapsulasi dalam lalu lintas HTTPS dan dikirim ke server HTTP, tempat penyelesai memproses permintaan melalui Web API. Standar DNSSEC yang ada menggunakan enkripsi hanya untuk mengautentikasi klien dan server, tetapi tidak melindungi lalu lintas dari intersepsi dan tidak menjamin kerahasiaan permintaan.
Untuk memilih penyedia DoH yang ditawarkan di Firefox, kepada penyelesai DNS yang dapat dipercaya, yang menurutnya operator DNS dapat menggunakan data yang diterima untuk resolusi hanya untuk memastikan pengoperasian layanan, tidak boleh menyimpan log lebih dari 24 jam, tidak dapat mentransfer data ke pihak ketiga dan wajib mengungkapkan informasi tentang metode pengolahan data. Layanan juga harus setuju untuk tidak menyensor, memfilter, mengganggu, atau memblokir lalu lintas DNS, kecuali dalam situasi yang ditentukan oleh hukum.
DoH harus digunakan dengan hati-hati. Misalnya, di Federasi Rusia, alamat IP 104.16.248.249 dan 104.16.249.249 dikaitkan dengan server DoH default mozilla.cloudflare-dns.com yang ditawarkan di Firefox, в atas permintaan pengadilan Stavropol tanggal 10.06.2013 Juni XNUMX.
DoH juga dapat menyebabkan masalah di berbagai bidang seperti sistem kontrol orang tua, akses ke namespace internal di sistem perusahaan, pemilihan rute dalam sistem pengoptimalan pengiriman konten, dan kepatuhan terhadap perintah pengadilan di bidang pemberantasan distribusi konten ilegal dan eksploitasi. anak di bawah umur. Untuk menghindari masalah tersebut, sistem pemeriksaan telah diterapkan dan diuji yang secara otomatis menonaktifkan DoH dalam kondisi tertentu.
Untuk mengidentifikasi penyelesai perusahaan, domain tingkat pertama (TLD) yang tidak lazim diperiksa dan penyelesai sistem mengembalikan alamat intranet. Untuk menentukan apakah kontrol orang tua diaktifkan, dilakukan upaya untuk menyelesaikan nama exampleadultsite.com dan jika hasilnya tidak sesuai dengan IP sebenarnya, pemblokiran konten dewasa dianggap aktif di tingkat DNS. Alamat IP Google dan YouTube juga diperiksa sebagai tanda untuk melihat apakah alamat tersebut telah digantikan oleh pembatasan.youtube.com, forcesafesearch.google.com, dan pembatasanmoderate.youtube.com. Pemeriksaan ini memungkinkan penyerang yang mengontrol pengoperasian penyelesai atau mampu mengganggu lalu lintas untuk mensimulasikan perilaku tersebut untuk menonaktifkan enkripsi lalu lintas DNS.
Bekerja melalui satu layanan DoH juga berpotensi menimbulkan masalah dengan pengoptimalan lalu lintas di jaringan pengiriman konten yang menyeimbangkan lalu lintas menggunakan DNS (server DNS jaringan CDN menghasilkan respons, dengan mempertimbangkan alamat penyelesai dan menyediakan host terdekat untuk menerima konten) . Mengirim kueri DNS dari penyelesai yang paling dekat dengan pengguna di CDN tersebut akan menghasilkan alamat host yang paling dekat dengan pengguna, tetapi mengirimkan kueri DNS dari penyelesai terpusat akan mengembalikan alamat host yang paling dekat dengan server DNS-over-HTTPS . Pengujian dalam praktik menunjukkan bahwa penggunaan DNS-over-HTTP saat menggunakan CDN hampir tidak menyebabkan penundaan sebelum dimulainya transfer konten (untuk koneksi cepat, penundaan tidak melebihi 10 milidetik, dan kinerja yang lebih cepat diamati pada saluran komunikasi yang lambat ). Penggunaan ekstensi Subnet Klien EDNS juga dianggap memberikan informasi lokasi klien ke penyelesai CDN.
Sumber: opennet.ru