Pengembang Firefox tentang penyelesaian pengujian dukungan untuk DNS melalui HTTPS (DoH, DNS melalui HTTPS) dan niat untuk mengaktifkan teknologi ini secara default untuk pengguna AS pada akhir September. Aktivasi akan dilakukan secara progresif, awalnya untuk beberapa persen pengguna, dan jika tidak ada kendala maka secara bertahap ditingkatkan hingga 100%. Setelah Amerika tercakup, DoH akan dipertimbangkan untuk dimasukkan di negara lain.
Pengujian yang dilakukan sepanjang tahun menunjukkan keandalan dan kinerja layanan yang baik, dan juga memungkinkan untuk mengidentifikasi beberapa situasi di mana DoH dapat menyebabkan masalah dan mengembangkan solusi untuk menghindarinya (misalnya, dibongkar dengan pengoptimalan lalu lintas di jaringan pengiriman konten, kontrol orang tua, dan zona DNS internal perusahaan).
Pentingnya mengenkripsi lalu lintas DNS dinilai sebagai faktor penting yang mendasar dalam melindungi pengguna, sehingga diputuskan untuk mengaktifkan DoH secara default, tetapi pada tahap pertama hanya untuk pengguna dari Amerika Serikat. Setelah mengaktifkan DoH, pengguna akan menerima peringatan yang memungkinkan, jika diinginkan, untuk menolak menghubungi server DNS DoH terpusat dan kembali ke skema tradisional mengirimkan permintaan tidak terenkripsi ke server DNS penyedia (bukan infrastruktur terdistribusi dari penyelesai DNS, DoH menggunakan pengikatan ke layanan DoH tertentu, yang dapat dianggap sebagai satu titik kegagalan).
Jika DoH diaktifkan, sistem kontrol orang tua dan jaringan perusahaan yang menggunakan struktur nama DNS khusus jaringan internal untuk menyelesaikan alamat intranet dan host perusahaan mungkin akan terganggu. Untuk mengatasi masalah dengan sistem tersebut, sistem pemeriksaan telah ditambahkan yang secara otomatis menonaktifkan DoH. Pemeriksaan dilakukan setiap kali browser diluncurkan atau ketika perubahan subnet terdeteksi.
Pengembalian otomatis untuk menggunakan penyelesai sistem operasi standar juga diberikan jika terjadi kegagalan selama penyelesaian melalui DoH (misalnya, jika ketersediaan jaringan dengan penyedia DoH terganggu atau terjadi kegagalan pada infrastrukturnya). Arti dari pemeriksaan tersebut dipertanyakan, karena tidak ada yang mencegah penyerang yang mengontrol pengoperasian penyelesai atau mampu mengganggu lalu lintas untuk mensimulasikan perilaku serupa dengan menonaktifkan enkripsi lalu lintas DNS. Masalahnya diselesaikan dengan menambahkan item "DoH selalu" ke pengaturan (tidak aktif secara diam-diam), ketika diatur, pematian otomatis tidak diterapkan, yang merupakan kompromi yang masuk akal.
Untuk mengidentifikasi penyelesai perusahaan, domain tingkat pertama (TLD) yang tidak lazim diperiksa dan penyelesai sistem mengembalikan alamat intranet. Untuk menentukan apakah kontrol orang tua diaktifkan, dilakukan upaya untuk menyelesaikan nama exampleadultsite.com dan jika hasilnya tidak sesuai dengan IP sebenarnya, pemblokiran konten dewasa dianggap aktif di tingkat DNS. Alamat IP Google dan YouTube juga diperiksa sebagai tanda untuk melihat apakah alamat tersebut telah digantikan oleh pembatasan.youtube.com, forcesafesearch.google.com, dan pembatasanmoderate.youtube.com. Tambahan Mozilla mengimplementasikan satu host pengujian , yang dapat digunakan oleh ISP dan layanan kontrol orang tua sebagai tanda untuk menonaktifkan DoH (jika host tidak terdeteksi, Firefox akan menonaktifkan DoH).
Bekerja melalui satu layanan DoH juga berpotensi menimbulkan masalah dengan pengoptimalan lalu lintas di jaringan pengiriman konten yang menyeimbangkan lalu lintas menggunakan DNS (server DNS jaringan CDN menghasilkan respons, dengan mempertimbangkan alamat penyelesai dan menyediakan host terdekat untuk menerima konten) . Mengirim kueri DNS dari penyelesai yang paling dekat dengan pengguna di CDN tersebut akan menghasilkan alamat host yang paling dekat dengan pengguna, tetapi mengirimkan kueri DNS dari penyelesai terpusat akan mengembalikan alamat host yang paling dekat dengan server DNS-over-HTTPS . Pengujian dalam praktik menunjukkan bahwa penggunaan DNS-over-HTTP saat menggunakan CDN hampir tidak menyebabkan penundaan sebelum dimulainya transfer konten (untuk koneksi cepat, penundaan tidak melebihi 10 milidetik, dan kinerja yang lebih cepat diamati pada saluran komunikasi yang lambat ). Penggunaan ekstensi Subnet Klien EDNS juga dianggap memberikan informasi lokasi klien ke penyelesai CDN.
Ingatlah bahwa DoH dapat berguna untuk mencegah kebocoran informasi tentang nama host yang diminta melalui server DNS penyedia, melawan serangan MITM dan spoofing lalu lintas DNS, melawan pemblokiran di tingkat DNS, atau untuk mengatur pekerjaan jika itu terjadi. tidak mungkin mengakses server DNS secara langsung (misalnya, saat bekerja melalui proxy). Jika dalam situasi normal permintaan DNS langsung dikirim ke server DNS yang ditentukan dalam konfigurasi sistem, maka dalam kasus DoH, permintaan untuk menentukan alamat IP host dienkapsulasi dalam lalu lintas HTTPS dan dikirim ke server HTTP, tempat penyelesai memproses permintaan melalui Web API. Standar DNSSEC yang ada menggunakan enkripsi hanya untuk mengautentikasi klien dan server, tetapi tidak melindungi lalu lintas dari intersepsi dan tidak menjamin kerahasiaan permintaan.
Untuk mengaktifkan DoH di about:config, Anda harus mengubah nilai variabel network.trr.mode, yang telah didukung sejak Firefox 60. Nilai 0 menonaktifkan DoH sepenuhnya; 1 - DNS atau DoH digunakan, mana yang lebih cepat; 2 - DoH digunakan secara default, dan DNS digunakan sebagai opsi cadangan; 3 - hanya DoH yang digunakan; 4 - mode mirroring di mana DoH dan DNS digunakan secara paralel. Secara default, server DNS CloudFlare digunakan, tetapi dapat diubah melalui parameter network.trr.uri, misalnya Anda dapat mengatur βhttps://dns.google.com/experimentalβ atau βhttps://9.9.9.9 .XNUMX/permintaan dns "
Sumber: opennet.ru