מוזילה עוברת לאפשר DNS-over-HTTPS כברירת מחדל ב-Firefox

מפתחי פיירפוקס הוכרז על השלמת בדיקת התמיכה ב-DNS על HTTPS (DoH, DNS over HTTPS) ועל הכוונה לאפשר טכנולוגיה זו כברירת מחדל למשתמשים בארה"ב בסוף ספטמבר. ההפעלה תתבצע בהדרגה, תחילה עבור כמה אחוזים מהמשתמשים, ואם אין בעיות, עלייה הדרגתית ל-100%. לאחר כיסוי ארה"ב, DoH ייחשב להכללה במדינות אחרות.

בדיקות שבוצעו במהלך השנה הראו את אמינות השירות והביצועים הטובים, וכן אפשרו לזהות כמה מצבים שבהם DoH יכול להוביל לבעיות ולפתח פתרונות לעקוף אותן (למשל, פירוק בעיות עם אופטימיזציה של תנועה ברשתות אספקת תוכן, בקרת הורים ואזורי DNS פנימיים ארגוניים).

החשיבות של הצפנת תעבורת DNS מוערכת כגורם חשוב ביסודו בהגנה על המשתמשים, ולכן הוחלט לאפשר את DoH כברירת מחדל, אך בשלב הראשון רק עבור משתמשים מארצות הברית. לאחר הפעלת DoH, המשתמש יקבל אזהרה שתאפשר, אם תרצה, לסרב ליצור קשר עם שרתי DNS מרכזיים של DoH ולחזור לסכימה המסורתית של שליחת בקשות לא מוצפנות לשרת ה-DNS של הספק (במקום תשתית מבוזרת של פותרי DNS, DoH משתמש בקישור לשירות DoH ספציפי, שיכול להיחשב כנקודת כשל בודדת).

אם DoH מופעל, מערכות בקרת הורים ורשתות ארגוניות המשתמשות במבנה שמות ה-DNS הפנימי של הרשת בלבד כדי לפתור כתובות אינטרא-נט ומארחים ארגוניים עלולות להיפגע. כדי לפתור בעיות במערכות כאלה, נוספה מערכת בדיקות שמנטרלת אוטומטית את DoH. בדיקות מבוצעות בכל פעם שהדפדפן מופעל או כאשר מזוהה שינוי ברשת המשנה.

חזרה אוטומטית לשימוש בפותר מערכת ההפעלה הסטנדרטי מסופקת גם אם מתרחשות כשלים במהלך הפתרון באמצעות DoH (לדוגמה, אם זמינות הרשת אצל ספק DoH מופרעת או מתרחשות כשלים בתשתית שלה). המשמעות של בדיקות כאלה מוטלת בספק, שכן איש אינו מונע מתוקפים השולטים בפעולת הפותר או המסוגלים להפריע לתעבורה לדמות התנהגות דומה כדי להשבית את ההצפנה של תעבורת DNS. הבעיה נפתרה על ידי הוספת הפריט "DoH always" להגדרות (לא פעיל בשקט), כאשר מוגדר, כיבוי אוטומטי אינו מוחל, וזו פשרה סבירה.

כדי לזהות פותרים ארגוניים, דומיינים לא טיפוסיים ברמה ראשונה (TLD) נבדקים ופותר המערכת מחזיר כתובות אינטראנט. כדי לקבוע אם בקרת הורים מופעלת, נעשה ניסיון לפתור את השם exampleadultsite.com ואם התוצאה אינה תואמת את ה-IP בפועל, זה נחשב שחסימת תוכן למבוגרים פעילה ברמת ה-DNS. כתובות ה-IP של Google ו-YouTube נבדקות גם כסימנים כדי לראות אם הם הוחלפו ב-strict.youtube.com, forcesafesearch.google.com ו-restrictmoderate.youtube.com. מוזילה נוספת מציע ליישם מארח בדיקה יחיד use-application-dns.net, שספקי שירותי אינטרנט ושירותי בקרת הורים יכולים להשתמש בהם כדגל כדי להשבית את DoH (אם המארח לא מזוהה, Firefox משבית את DoH).

עבודה באמצעות שירות DoH יחיד עלולה גם להוביל לבעיות באופטימיזציה של תעבורה ברשתות אספקת תוכן שמאזנות תעבורה באמצעות DNS (שרת ה-DNS של רשת CDN מייצר תגובה תוך התחשבות בכתובת הפותר ומספק את המארח הקרוב ביותר לקבל את התוכן). שליחת שאילתת DNS מהפורסבר הקרוב ביותר למשתמש ב-CDN שכאלה מביאה להחזרת הכתובת של המארח הקרוב למשתמש, אך שליחת שאילתת DNS מפותר מרכזי תחזיר את כתובת המארח הקרובה ביותר לשרת DNS-over-HTTPS . בדיקה בפועל הראתה שהשימוש ב-DNS-over-HTTP בעת שימוש ב-CDN הוביל למעשה ללא עיכובים לפני תחילת העברת התוכן (עבור חיבורים מהירים, העיכובים לא עלו על 10 מילישניות, ואף נצפו ביצועים מהירים יותר בערוצי תקשורת איטיים ). השימוש בתוסף EDNS Client Subnet נחשב גם כדי לספק מידע על מיקום הלקוח לפותר ה-CDN.

נזכיר כי DoH יכול להיות שימושי למניעת דליפות מידע על שמות המארחים המבוקשים דרך שרתי ה-DNS של ספקים, מאבק בהתקפות MITM וזיוף של תעבורת DNS, מניעת חסימה ברמת ה-DNS, או לארגון עבודה במקרה שזה בלתי אפשרי לגשת ישירות לשרתי DNS (לדוגמה, כאשר עובדים דרך פרוקסי). אם במצב רגיל בקשות DNS נשלחות ישירות לשרתי DNS המוגדרים בתצורת המערכת, אז במקרה של DoH, הבקשה לקביעת כתובת ה-IP של המארח מובלעת בתעבורת HTTPS ונשלחת לשרת ה-HTTP, שם הפותר מעבד בקשות דרך ה-API של האינטרנט. תקן DNSSEC הקיים משתמש בהצפנה רק כדי לאמת את הלקוח והשרת, אך אינו מגן על התעבורה מפני יירוט ואינו מבטיח את סודיות הבקשות.

כדי להפעיל DoH ב- about:config, עליך לשנות את הערך של המשתנה network.trr.mode, שנתמך מאז Firefox 60. ערך 0 משבית את DoH לחלוטין; 1 - נעשה שימוש ב-DNS או DoH, המהיר מביניהם; 2 - DoH משמש כברירת מחדל, ו-DNS משמש כאפשרות חזרה; 3 - רק DoH משמש; 4 - מצב שיקוף בו נעשה שימוש ב-DoH ו-DNS במקביל. כברירת מחדל, נעשה שימוש בשרת ה-DNS של CloudFlare, אך ניתן לשנות אותו באמצעות הפרמטר network.trr.uri, לדוגמה, ניתן להגדיר "https://dns.google.com/experimental" או "https://9.9.9.9 .XNUMX/dns-query "

מקור: OpenNet.ru