Pengembang Firefox
Setelah mengaktifkan DoH, peringatan ditampilkan kepada pengguna, yang memungkinkan, jika diinginkan, menolak untuk menghubungi server DNS DoH terpusat dan kembali ke skema tradisional mengirimkan kueri tidak terenkripsi ke server DNS penyedia. Alih-alih infrastruktur pemecah DNS yang terdistribusi, DoH menggunakan pengikatan ke layanan DoH tertentu, yang dapat dianggap sebagai satu titik kegagalan. Saat ini, pekerjaan ditawarkan melalui dua penyedia DNS - CloudFlare (default) dan
Ubah penyedia atau nonaktifkan DoH
Ingatlah bahwa DoH dapat berguna untuk mencegah kebocoran informasi tentang nama host yang diminta melalui server DNS penyedia, melawan serangan MITM dan spoofing lalu lintas DNS (misalnya, saat menyambung ke Wi-Fi publik), melawan pemblokiran di DNS level (DoH tidak dapat menggantikan VPN di area bypass pemblokiran yang diterapkan pada level DPI) atau untuk mengatur pekerjaan jika tidak mungkin mengakses server DNS secara langsung (misalnya, saat bekerja melalui proxy). Jika dalam situasi normal permintaan DNS langsung dikirim ke server DNS yang ditentukan dalam konfigurasi sistem, maka dalam kasus DoH, permintaan untuk menentukan alamat IP host dienkapsulasi dalam lalu lintas HTTPS dan dikirim ke server HTTP, tempat penyelesai memproses permintaan melalui Web API. Standar DNSSEC yang ada menggunakan enkripsi hanya untuk mengautentikasi klien dan server, tetapi tidak melindungi lalu lintas dari intersepsi dan tidak menjamin kerahasiaan permintaan.
Untuk memilih penyedia DoH yang ditawarkan di Firefox,
DoH harus digunakan dengan hati-hati. Misalnya, di Federasi Rusia, alamat IP 104.16.248.249 dan 104.16.249.249 dikaitkan dengan server DoH default mozilla.cloudflare-dns.com yang ditawarkan di Firefox,
DoH juga dapat menyebabkan masalah di berbagai bidang seperti sistem kontrol orang tua, akses ke namespace internal di sistem perusahaan, pemilihan rute dalam sistem pengoptimalan pengiriman konten, dan kepatuhan terhadap perintah pengadilan di bidang pemberantasan distribusi konten ilegal dan eksploitasi. anak di bawah umur. Untuk menghindari masalah tersebut, sistem pemeriksaan telah diterapkan dan diuji yang secara otomatis menonaktifkan DoH dalam kondisi tertentu.
Untuk mengidentifikasi penyelesai perusahaan, domain tingkat pertama (TLD) yang tidak lazim diperiksa dan penyelesai sistem mengembalikan alamat intranet. Untuk menentukan apakah kontrol orang tua diaktifkan, dilakukan upaya untuk menyelesaikan nama exampleadultsite.com dan jika hasilnya tidak sesuai dengan IP sebenarnya, pemblokiran konten dewasa dianggap aktif di tingkat DNS. Alamat IP Google dan YouTube juga diperiksa sebagai tanda untuk melihat apakah alamat tersebut telah digantikan oleh pembatasan.youtube.com, forcesafesearch.google.com, dan pembatasanmoderate.youtube.com. Pemeriksaan ini memungkinkan penyerang yang mengontrol pengoperasian penyelesai atau mampu mengganggu lalu lintas untuk mensimulasikan perilaku tersebut untuk menonaktifkan enkripsi lalu lintas DNS.
Bekerja melalui satu layanan DoH juga berpotensi menimbulkan masalah dengan pengoptimalan lalu lintas di jaringan pengiriman konten yang menyeimbangkan lalu lintas menggunakan DNS (server DNS jaringan CDN menghasilkan respons, dengan mempertimbangkan alamat penyelesai dan menyediakan host terdekat untuk menerima konten) . Mengirim kueri DNS dari penyelesai yang paling dekat dengan pengguna di CDN tersebut akan menghasilkan alamat host yang paling dekat dengan pengguna, tetapi mengirimkan kueri DNS dari penyelesai terpusat akan mengembalikan alamat host yang paling dekat dengan server DNS-over-HTTPS . Pengujian dalam praktik menunjukkan bahwa penggunaan DNS-over-HTTP saat menggunakan CDN hampir tidak menyebabkan penundaan sebelum dimulainya transfer konten (untuk koneksi cepat, penundaan tidak melebihi 10 milidetik, dan kinerja yang lebih cepat diamati pada saluran komunikasi yang lambat ). Penggunaan ekstensi Subnet Klien EDNS juga dianggap memberikan informasi lokasi klien ke penyelesai CDN.
Sumber: opennet.ru