DNS-over-HTTPS מופעל כברירת מחדל ב-Firefox עבור משתמשי ארה"ב

מפתחי פיירפוקס הוכרז על הפעלת מצב DNS over HTTPS (DoH, DNS over HTTPS) כברירת מחדל עבור משתמשים בארה"ב. הצפנה של תעבורת DNS נחשבת לגורם חשוב ביסודו בהגנה על המשתמשים. החל מהיום, כל ההתקנות החדשות של משתמשי ארה"ב יופעלו DoH כברירת מחדל. משתמשים קיימים בארה"ב אמורים לעבור ל-DoH תוך מספר שבועות. באיחוד האירופי ובמדינות אחרות, הפעל את DoH כברירת מחדל לעת עתה לא לתכנן.

לאחר הפעלת DoH, מוצגת אזהרה למשתמש, המאפשרת, אם תרצה, לסרב ליצור קשר עם שרתי DoH DNS מרכזיים ולחזור לסכימה המסורתית של שליחת שאילתות לא מוצפנות לשרת ה-DNS של הספק. במקום תשתית מבוזרת של פותרי DNS, DoH משתמש בקישור לשירות DoH ספציפי, שיכול להיחשב כנקודת כשל בודדת. נכון לעכשיו, העבודה מוצעת דרך שני ספקי DNS - CloudFlare (ברירת מחדל) ו NextDNS.

שנה ספק או השבת את DoH אחד יכול בהגדרות החיבור לרשת. לדוגמה, אתה יכול לציין שרת DoH חלופי "https://dns.google/dns-query" כדי לגשת לשרתי Google, "https://dns.quad9.net/dns-query" - Quad9 ו-"https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config מספקת גם את הגדרת network.trr.mode, שדרכה ניתן לשנות את מצב ההפעלה של DoH: ערך של 0 משבית לחלוטין את DoH; 1 - נעשה שימוש ב-DNS או DoH, המהיר מביניהם; 2 - DoH משמש כברירת מחדל, ו-DNS משמש כאפשרות חזרה; 3 - רק DoH משמש; 4 - מצב שיקוף בו נעשה שימוש ב-DoH ו-DNS במקביל.

נזכיר כי DoH יכול להיות שימושי למניעת דליפות מידע על שמות המארחים המבוקשים דרך שרתי ה-DNS של ספקים, מאבק בהתקפות MITM וזיוף תעבורת DNS (לדוגמה, בעת חיבור ל-Wi-Fi ציבורי), מניעת חסימה ב-DNS רמת (DoH לא יכול להחליף VPN בתחום של עקיפת חסימה המיושמת ברמת DPI) או לארגון עבודה אם אי אפשר לגשת ישירות לשרתי DNS (לדוגמה, בעבודה דרך פרוקסי). אם במצב רגיל בקשות DNS נשלחות ישירות לשרתי DNS המוגדרים בתצורת המערכת, אז במקרה של DoH, הבקשה לקביעת כתובת ה-IP של המארח מובלעת בתעבורת HTTPS ונשלחת לשרת ה-HTTP, שם הפותר מעבד בקשות דרך ה-API של האינטרנט. תקן DNSSEC הקיים משתמש בהצפנה רק כדי לאמת את הלקוח והשרת, אך אינו מגן על התעבורה מפני יירוט ואינו מבטיח את סודיות הבקשות.

כדי לבחור את ספקי DoH המוצעים ב-Firefox, דרישות לפותרי DNS מהימנים, לפיהם מפעיל ה-DNS יכול להשתמש בנתונים המתקבלים לפתרון רק כדי להבטיח את פעולת השירות, אסור לאחסן לוגים במשך יותר מ-24 שעות, אינו יכול להעביר נתונים לצדדים שלישיים ומחויב לחשוף מידע אודות שיטות עיבוד נתונים. על השירות גם להסכים שלא לצנזר, לסנן, להפריע או לחסום תעבורת DNS, אלא במצבים הקבועים בחוק.

יש להשתמש ב-DoH בזהירות. לדוגמה, בפדרציה הרוסית, כתובות IP 104.16.248.249 ו-104.16.249.249 המשויכות לשרת ברירת המחדל של DoH mozilla.cloudflare-dns.com המוצע ב-Firefox, ברשימה в רשימות חסימה רוסקומנדזור לבקשת בית המשפט בסטברופול מיום 10.06.2013.

DoH יכול גם לגרום לבעיות בתחומים כמו מערכות בקרת הורים, גישה למרחבי שמות פנימיים במערכות ארגוניות, בחירת מסלולים במערכות אופטימיזציה של מסירת תוכן ועמידה בצווי בית משפט בתחום המאבק בהפצת תוכן בלתי חוקי וניצול של קטינים. כדי לעקוף בעיות כאלה, הוטמעה ונבדקה מערכת צ'קים המשביתה אוטומטית את DoH בתנאים מסוימים.

כדי לזהות פותרים ארגוניים, דומיינים לא טיפוסיים ברמה ראשונה (TLD) נבדקים ופותר המערכת מחזיר כתובות אינטראנט. כדי לקבוע אם בקרת הורים מופעלת, נעשה ניסיון לפתור את השם exampleadultsite.com ואם התוצאה אינה תואמת את ה-IP בפועל, זה נחשב שחסימת תוכן למבוגרים פעילה ברמת ה-DNS. כתובות ה-IP של Google ו-YouTube נבדקות גם כסימנים כדי לראות אם הם הוחלפו ב-strict.youtube.com, forcesafesearch.google.com ו-restrictmoderate.youtube.com. בדיקות אלו מאפשרות לתוקפים השולטים בפעולת הפותר או המסוגלים להפריע לתעבורה לדמות התנהגות כזו כדי להשבית את ההצפנה של תעבורת DNS.

עבודה באמצעות שירות DoH יחיד עלולה גם להוביל לבעיות באופטימיזציה של תעבורה ברשתות אספקת תוכן שמאזנות תעבורה באמצעות DNS (שרת ה-DNS של רשת CDN מייצר תגובה תוך התחשבות בכתובת הפותר ומספק את המארח הקרוב ביותר לקבל את התוכן). שליחת שאילתת DNS מהפורסבר הקרוב ביותר למשתמש ב-CDN שכאלה מביאה להחזרת הכתובת של המארח הקרוב למשתמש, אך שליחת שאילתת DNS מפותר מרכזי תחזיר את כתובת המארח הקרובה ביותר לשרת DNS-over-HTTPS . בדיקה בפועל הראתה שהשימוש ב-DNS-over-HTTP בעת שימוש ב-CDN הוביל למעשה ללא עיכובים לפני תחילת העברת התוכן (עבור חיבורים מהירים, העיכובים לא עלו על 10 מילישניות, ואף נצפו ביצועים מהירים יותר בערוצי תקשורת איטיים ). השימוש בתוסף EDNS Client Subnet נחשב גם כדי לספק מידע על מיקום הלקוח לפותר ה-CDN.

מקור: OpenNet.ru