Ndị nrụpụta Firefox о завершении тестирования поддержки DNS поверх HTTPS (DoH, DNS over HTTPS) и намерении в конце сентября включить данную технологию по умолчанию для пользователей из США. Включение будет производиться поступательно, вначале для нескольких процентов пользователей, а в случае отсутствия проблем постепенно доводя до 100%. После охвата США будет рассмотрена возможность включения DoH и в других странах.
Проводимые в течение года тесты показали надёжность и хорошую производительность сервиса, а также позволили выявить некоторые ситуации, когда DoH может приводить к проблемам, и разработать решения для их обхода (например, разобраны с оптимизацией трафика в сетях доставки контента, родительским контролем и корпоративными внутренними DNS-зонами).
Важность шифрования DNS-трафика оценивается как принципиально важный фактор защиты пользователей, поэтому DoH решено включить по умолчанию, но на первом этапе только для пользователей из США. После активации DoH пользователю будет выведено предупреждение, которое позволит при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера (вместо распределённой инфраструктуры резолверов DNS, в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа).
При активации DoH возможно нарушение работы систем родительского контроля и корпоративных сетей, использующих доступную только для внутренней сети структуру имён DNS для преобразования интранет-адресов и корпоративных хостов. Для решения проблем с подобными системами добавлена система проверок, автоматически отключающих DoH. Проверки выполняются при каждом запуске браузера или при определении изменения подсети.
Автоматический возврат на использование штатного резолвера операционной системы также предусмотрен при возникновении сбоев при резолвинге через DoH (например, при нарушении сетевой доступности с провайдером DoH или возникновении сбоев в его инфраструктуре). Смысл подобных проверок сомнителен, так как никто не мешает атакующим, контролирующим работу резолвера или способным вмешаться в трафик, симулировать подобное поведение для отключения шифрования DNS-трафика. Проблема решена добавлением в настройки пункта «DoH always» (по молчанию не активен), при установке которого автоматическое отключение не применяется, что является разумным компромиссом.
Для определения корпоративных резолверов выполняются проверки нетипичных доменов первого уровня (TLD) и возвращение системным резолвером интранет-адресов. Для определения включения родительского контроля осуществляется попытка резолвинга имени exampleadultsite.com и если результат не совпадает с фактическим IP, считается, что активна блокировка взрослого контента на уровне DNS. В качестве признаков также проверяются IP-адреса Google и YouTube на предмет их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com. Дополнительно Mozilla внедрить единый проверочный хост , который могут использовать интернет-провайдеры и сервисы родительского контроля в качестве метки для отключения DoH (если хост не определяется, Firefox отключает DoH).
Ịrụ ọrụ site na otu ọrụ DoH nwekwara ike ịkpata nsogbu na njikarịcha okporo ụzọ na netwọk nnyefe ọdịnaya nke na-edozi okporo ụzọ site na iji DNS (sava DNS netwọk CDN na-emepụta nzaghachi na-echebara adreesị onye na-edozi ma na-enye onye ọbịa kacha nso ịnweta ọdịnaya). Izipu ajụjụ DNS site na onye na-edozi ya kacha nso onye ọrụ na CDN ndị dị otú ahụ na-ebuteghachi adreesị nke onye ọbịa kacha nso onye ọrụ ahụ, mana izipu ajụjụ DNS site na onye nhazi etiti ga-eweghachite adreesị nnabata kacha nso na sava DNS-over-HTTPS. . Nnwale n'omume gosipụtara na iji DNS-over-HTTP mgbe ị na-eji CDN mere ka ọ bụrụ na ọ dịghị egbu oge tupu mmalite nke nnyefe ọdịnaya (maka njikọ ngwa ngwa, nkwụsịtụ agafeghị 10 milliseconds, na ọbụna ngwa ngwa ka a hụrụ na ọwa nkwurịta okwu ngwa ngwa. ). A tụlekwara iji ndọtị subnet ndị ahịa EDNS ka ịnye onye nrụpụta CDN ozi ọnọdụ ndị ahịa.
Ka anyị cheta na DoH nwere ike ịba uru maka igbochi ntanye ozi gbasara aha ndị ọbịa a rịọrọ site na sava DNS nke ndị na-enye ya, na-alụso ọgụ MITM ọgụ na ịkwanye okporo ụzọ DNS, igbochi igbochi na ọkwa DNS, ma ọ bụ maka ịhazi ọrụ ma ọ bụrụ na ọ agaghị ekwe omume ịnweta sava DNS ozugbo (dịka ọmụmaatụ, mgbe ị na-arụ ọrụ site na proxy). Ọ bụrụ na n'ọnọdụ nkịtị, a na-ezigara arịrịọ DNS ozugbo na sava DNS akọwapụtara na nhazi sistemụ, mgbe ahụ n'ihe banyere DoH, a na-etinye arịrịọ iji chọpụta adreesị IP nke onye ọbịa na okporo ụzọ HTTPS wee ziga na sava HTTP, ebe usoro mkpebi. arịrịọ site na API Weebụ. Ụkpụrụ DNSSEC dị ugbu a na-eji ezoro ezo naanị iji chọpụta onye ahịa na ihe nkesa, mana ọ naghị echebe okporo ụzọ site na interception na anaghị ekwe nkwa nzuzo nke arịrịọ.
Iji mee ka DoH nwee ihe dị ka: config, ị ghaghị ịgbanwe uru nke network.trr.mode variable, nke akwadoro kemgbe Firefox 60. Uru nke 0 na-ewepụ DoH kpamkpam; 1 - A na-eji DNS ma ọ bụ DoH mee ihe, nke ọ bụla dị ngwa ngwa; 2 - A na-eji DoH na ndabara, a na-ejikwa DNS dịka nhọrọ ọdịda; 3 - naanị DoH na-eji; 4 - ọnọdụ mirroring nke ejiri DoH na DNS mee ihe n'otu oge. Na ndabara, a na-eji sava DNS CloudFlare, mana enwere ike ịgbanwe ya site na paramita network.trr.uri, dịka ọmụmaatụ, ị nwere ike ịtọ “https://dns.google.com/experimental” ma ọ bụ “https://9.9.9.9 .XNUMX/ns-ajụjụ"
isi: opennet.ru