Sviluppatori di Firefox sull'attivazione della modalità DNS su HTTPS (DoH, DNS su HTTPS) per impostazione predefinita per gli utenti statunitensi. La crittografia del traffico DNS è considerata un fattore di fondamentale importanza per la protezione degli utenti. A partire da oggi, tutte le nuove installazioni da parte degli utenti statunitensi avranno DoH abilitato per impostazione predefinita. Si prevede che gli utenti statunitensi esistenti passeranno a DoH entro poche settimane. Nell'Unione Europea e in altri paesi, per ora attiva la DoH per impostazione predefinita .
Dopo aver attivato DoH, all'utente viene visualizzato un avviso che consente, se lo si desidera, di rifiutarsi di contattare i server DNS DoH centralizzati e tornare allo schema tradizionale di invio di query non crittografate al server DNS del provider. Invece di un’infrastruttura distribuita di risolutori DNS, DoH utilizza un collegamento a uno specifico servizio DoH, che può essere considerato un singolo punto di errore. Attualmente, il lavoro viene offerto tramite due provider DNS: CloudFlare (predefinito) e .
Cambia fornitore o disabilita DoH nelle impostazioni della connessione di rete. Ad esempio, puoi specificare un server DoH alternativo “https://dns.google/dns-query” per accedere ai server di Google, “https://dns.quad9.net/dns-query” - Quad9 e “https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config fornisce anche l'impostazione network.trr.mode, attraverso la quale è possibile modificare la modalità operativa di DoH: un valore pari a 0 disabilita completamente DoH; 1 - Viene utilizzato DNS o DoH, a seconda di quale sia il più veloce; 2 - DoH viene utilizzato per impostazione predefinita e DNS viene utilizzato come opzione di fallback; 3 - viene utilizzato solo DoH; 4 - modalità mirroring in cui DoH e DNS vengono utilizzati in parallelo.
Ricordiamo che il DoH può essere utile per prevenire fughe di informazioni sui nomi host richiesti attraverso i server DNS dei provider, contrastare gli attacchi MITM e lo spoofing del traffico DNS (ad esempio durante la connessione a reti Wi-Fi pubbliche), contrastare il blocco dei DNS livello (DoH non può sostituire una VPN nell'ambito dell'elusione del blocco implementato a livello DPI) o per organizzare il lavoro se è impossibile accedere direttamente ai server DNS (ad esempio, quando si lavora tramite un proxy). Se in una situazione normale le richieste DNS vengono inviate direttamente ai server DNS definiti nella configurazione del sistema, nel caso di DoH la richiesta per determinare l'indirizzo IP dell'host viene incapsulata nel traffico HTTPS e inviata al server HTTP, dove elabora il risolutore richieste tramite l'API Web. Lo standard DNSSEC esistente utilizza la crittografia solo per autenticare client e server, ma non protegge il traffico dalle intercettazioni e non garantisce la riservatezza delle richieste.
Per selezionare i provider DoH offerti in Firefox, a risolutori DNS affidabili, secondo i quali l'operatore DNS può utilizzare i dati ricevuti per la risoluzione solo per garantire il funzionamento del servizio, non deve conservare i log per più di 24 ore, non può trasferire dati a terzi ed è obbligato a divulgare informazioni su modalità di trattamento dei dati. Il servizio deve inoltre impegnarsi a non censurare, filtrare, interferire o bloccare il traffico DNS, salvo nelle situazioni previste dalla legge.
La DoH deve essere utilizzata con cautela. Ad esempio, nella Federazione Russa, gli indirizzi IP 104.16.248.249 e 104.16.249.249 associati al server DoH predefinito mozilla.cloudflare-dns.com offerto in Firefox, в su richiesta del tribunale di Stavropol del 10.06.2013 giugno XNUMX.
La DoH può anche causare problemi in aree quali i sistemi di controllo parentale, l'accesso agli spazi dei nomi interni nei sistemi aziendali, la selezione del percorso nei sistemi di ottimizzazione della distribuzione dei contenuti e il rispetto delle ordinanze dei tribunali nell'area della lotta alla distribuzione di contenuti illegali e allo sfruttamento di contenuti illegali. minori. Per aggirare tali problemi, è stato implementato e testato un sistema di controllo che disabilita automaticamente DoH in determinate condizioni.
Per identificare i risolutori aziendali, vengono controllati i domini atipici di primo livello (TLD) e il risolutore di sistema restituisce gli indirizzi intranet. Per determinare se i controlli parentali sono abilitati, viene effettuato un tentativo di risolvere il nome exampleadultsite.com e se il risultato non corrisponde all'IP effettivo, si considera che il blocco dei contenuti per adulti sia attivo a livello DNS. Anche gli indirizzi IP di Google e YouTube vengono controllati come segni per vedere se sono stati sostituiti da restring.youtube.com, forcesafesearch.google.com e restritmoderate.youtube.com. Questi controlli consentono agli aggressori che controllano il funzionamento del risolutore o sono in grado di interferire con il traffico di simulare tale comportamento per disabilitare la crittografia del traffico DNS.
Lavorare attraverso un unico servizio DoH può anche potenzialmente portare a problemi con l'ottimizzazione del traffico nelle reti di distribuzione dei contenuti che bilanciano il traffico utilizzando DNS (il server DNS della rete CDN genera una risposta tenendo conto dell'indirizzo del risolutore e fornisce l'host più vicino per ricevere il contenuto). L'invio di una query DNS dal risolutore più vicino all'utente in tali CDN restituisce l'indirizzo dell'host più vicino all'utente, ma l'invio di una query DNS da un risolutore centralizzato restituirà l'indirizzo host più vicino al server DNS-over-HTTPS . I test pratici hanno dimostrato che l'uso di DNS-over-HTTP quando si utilizza una CDN non ha portato praticamente alcun ritardo prima dell'inizio del trasferimento del contenuto (per le connessioni veloci, i ritardi non hanno superato i 10 millisecondi e sono state osservate prestazioni ancora più veloci su canali di comunicazione lenti ). È stato preso in considerazione anche l'uso dell'estensione EDNS Client Subnet per fornire informazioni sulla posizione del client al risolutore CDN.
Fonte: opennet.ru