Sviluppatori di Firefox sul completamento del test del supporto per DNS su HTTPS (DoH, DNS su HTTPS) e sull'intenzione di abilitare questa tecnologia per impostazione predefinita per gli utenti statunitensi alla fine di settembre. L'attivazione verrà effettuata progressivamente, inizialmente per una piccola percentuale di utenti, e se non ci saranno problemi, aumentando gradualmente fino al 100%. Una volta coperti gli Stati Uniti, la DoH verrà presa in considerazione per l'inclusione in altri paesi.
I test effettuati durante tutto l'anno hanno dimostrato l'affidabilità e la buona prestazione del servizio, e hanno inoltre permesso di identificare alcune situazioni in cui la DoH può portare a problemi e di sviluppare soluzioni per aggirarli (ad esempio, smontaggi con ottimizzazione del traffico nelle reti di distribuzione dei contenuti, controlli parentali e zone DNS interne aziendali).
L'importanza della crittografia del traffico DNS è valutata come un fattore di fondamentale importanza per la protezione degli utenti, quindi si è deciso di abilitare DoH per impostazione predefinita, ma nella prima fase solo per gli utenti degli Stati Uniti. Dopo aver attivato DoH, l'utente riceverà un avviso che gli consentirà, se lo desidera, di rifiutarsi di contattare i server DNS DoH centralizzati e di tornare allo schema tradizionale di invio di richieste non crittografate al server DNS del provider (invece di un'infrastruttura distribuita di risolutori DNS, DoH utilizza l'associazione a uno specifico servizio DoH, che può essere considerato un singolo punto di errore).
Se DoH è attivato, i sistemi di controllo parentale e le reti aziendali che utilizzano la struttura dei nomi DNS solo di rete interna per risolvere gli indirizzi Intranet e gli host aziendali potrebbero essere interrotti. Per risolvere i problemi con tali sistemi è stato aggiunto un sistema di controlli che disabilita automaticamente DoH. I controlli vengono eseguiti ogni volta che viene avviato il browser o quando viene rilevata una modifica della sottorete.
Viene inoltre fornito un ritorno automatico all'utilizzo del risolutore standard del sistema operativo se si verificano guasti durante la risoluzione tramite DoH (ad esempio, se la disponibilità della rete con il fornitore DoH viene interrotta o si verificano guasti nella sua infrastruttura). Il significato di tali controlli è discutibile, poiché nessuno impedisce agli aggressori che controllano il funzionamento del risolutore o sono in grado di interferire con il traffico di simulare un comportamento simile per disattivare la crittografia del traffico DNS. Il problema è stato risolto aggiungendo la voce “DoH sempre” alle impostazioni (silenzioso inattivo), quando impostato non viene applicato lo spegnimento automatico, il che è un compromesso ragionevole.
Per identificare i risolutori aziendali, vengono controllati i domini di primo livello (TLD) atipici e il risolutore di sistema restituisce gli indirizzi intranet. Per determinare se i controlli parentali sono abilitati, viene effettuato un tentativo di risolvere il nome exampleadultsite.com e se il risultato non corrisponde all'IP effettivo, si considera che il blocco dei contenuti per adulti sia attivo a livello DNS. Anche gli indirizzi IP di Google e YouTube vengono controllati come segni per vedere se sono stati sostituiti da restring.youtube.com, forcesafesearch.google.com e restritmoderate.youtube.com. Mozilla aggiuntivo implementare un singolo host di test , che gli ISP e i servizi di controllo parentale possono utilizzare come flag per disabilitare DoH (se l'host non viene rilevato, Firefox disabilita DoH).
Lavorare attraverso un unico servizio DoH può anche potenzialmente portare a problemi con l'ottimizzazione del traffico nelle reti di distribuzione dei contenuti che bilanciano il traffico utilizzando DNS (il server DNS della rete CDN genera una risposta tenendo conto dell'indirizzo del risolutore e fornisce l'host più vicino per ricevere il contenuto). L'invio di una query DNS dal risolutore più vicino all'utente in tali CDN restituisce l'indirizzo dell'host più vicino all'utente, ma l'invio di una query DNS da un risolutore centralizzato restituirà l'indirizzo host più vicino al server DNS-over-HTTPS . I test pratici hanno dimostrato che l'uso di DNS-over-HTTP quando si utilizza una CDN non ha portato praticamente alcun ritardo prima dell'inizio del trasferimento del contenuto (per le connessioni veloci, i ritardi non hanno superato i 10 millisecondi e sono state osservate prestazioni ancora più veloci su canali di comunicazione lenti ). È stato preso in considerazione anche l'uso dell'estensione EDNS Client Subnet per fornire informazioni sulla posizione del client al risolutore CDN.
Ricordiamo che il DoH può essere utile per prevenire fughe di informazioni sui nomi host richiesti attraverso i server DNS dei provider, contrastare gli attacchi MITM e lo spoofing del traffico DNS, contrastare il blocco a livello DNS o organizzare il lavoro nel caso in cui esso è impossibile accedere direttamente ai server DNS (ad esempio, quando si lavora tramite un proxy). Se in una situazione normale le richieste DNS vengono inviate direttamente ai server DNS definiti nella configurazione del sistema, nel caso di DoH la richiesta per determinare l'indirizzo IP dell'host viene incapsulata nel traffico HTTPS e inviata al server HTTP, dove elabora il risolutore richieste tramite l'API Web. Lo standard DNSSEC esistente utilizza la crittografia solo per autenticare client e server, ma non protegge il traffico dalle intercettazioni e non garantisce la riservatezza delle richieste.
Per abilitare DoH in about:config, è necessario modificare il valore della variabile network.trr.mode, che è supportata da Firefox 60. Un valore pari a 0 disabilita completamente DoH; 1 - Viene utilizzato DNS o DoH, a seconda di quale sia il più veloce; 2 - DoH viene utilizzato per impostazione predefinita e DNS viene utilizzato come opzione di fallback; 3 - viene utilizzato solo DoH; 4 - modalità mirroring in cui DoH e DNS vengono utilizzati in parallelo. Per impostazione predefinita, viene utilizzato il server DNS CloudFlare, ma può essere modificato tramite il parametro network.trr.uri, ad esempio è possibile impostare "https://dns.google.com/experimental" o "https://9.9.9.9 .XNUMX/query-dns "
Fonte: opennet.ru