Firefox 開発者 米国ユーザー向けにデフォルトで DNS over HTTPS (DoH、DNS over HTTPS) モードを有効にする方法について。 DNS トラフィックの暗号化は、ユーザーを保護する上で基本的に重要な要素と考えられています。本日より、米国ユーザーによるすべての新規インストールでは、デフォルトで DoH が有効になります。米国の既存ユーザーは数週間以内にDoHに切り替える予定だ。欧州連合およびその他の国では、現時点ではデフォルトで DoH を有効にします .
DoH をアクティブ化すると、警告がユーザーに表示されます。これにより、必要に応じて、集中型 DoH DNS サーバーへの接続を拒否し、暗号化されていないクエリをプロバイダーの DNS サーバーに送信する従来のスキームに戻ることができます。 DoH は、DNS リゾルバーの分散インフラストラクチャの代わりに、単一障害点とみなされる特定の DoH サービスへのバインディングを使用します。現在、作業は CloudFlare (デフォルト) と CloudFlare の 2 つの DNS プロバイダーを通じて提供されています。 .
プロバイダーを変更するか、DoH を無効にする ネットワーク接続設定で。たとえば、代替 DoH サーバー「https://dns.google/dns-query」を指定して、Google サーバー、「https://dns.quad9.net/dns-query」 - Quad9 および「https:/」にアクセスできます。 /doh .opendns.com/dns-query" - OpenDNS。 About:config には network.trr.mode 設定も用意されており、これを使用して DoH 動作モードを変更できます。値 0 は DoH を完全に無効にします。 1 - DNS または DoH のどちらか速い方が使用されます。 2 - DoH がデフォルトで使用され、DNS がフォールバック オプションとして使用されます。 3 - DoH のみが使用されます。 4 - DoH と DNS が並行して使用されるミラーリング モード。
DoH は、プロバイダーの DNS サーバーを介した要求されたホスト名に関する情報の漏洩の防止、MITM 攻撃や DNS トラフィックのスプーフィングへの対処 (公衆 Wi-Fi への接続時など)、DNS でのブロックへの対抗に役立つことを思い出してください。レベル(DoH は、DPI レベルで実装されたブロッキングをバイパスする領域で VPN を置き換えることはできません)、または DNS サーバーに直接アクセスできない場合(たとえば、プロキシを介して作業する場合)の作業を整理するために使用します。 通常の状況では、DNS リクエストがシステム構成で定義された DNS サーバーに直接送信される場合、DoH の場合、ホストの IP アドレスを決定するリクエストは HTTPS トラフィックにカプセル化されて HTTP サーバーに送信され、そこでリゾルバーが処理します。 Web API経由でのリクエスト。 既存の DNSSEC 標準では、クライアントとサーバーの認証にのみ暗号化が使用されますが、トラフィックを傍受から保護したり、リクエストの機密性を保証したりすることはありません。
Firefox で提供される DoH プロバイダーを選択するには、 これによると、DNS オペレーターはサービスの動作を保証する目的でのみ受信したデータを解決のために使用することができ、ログを 24 時間以上保存してはならず、データを第三者に転送することはできず、次の情報を開示する義務があります。データ処理方法。 また、サービスは、法律で規定されている場合を除き、DNS トラフィックを検閲、フィルタリング、干渉、またはブロックしないことに同意する必要があります。
DoH は注意して使用する必要があります。たとえば、ロシア連邦では、IP アドレス 104.16.248.249 と 104.16.249.249 は、Firefox で提供されるデフォルトの DoH サーバー mozilla.cloudflare-dns.com に関連付けられています。 в 10.06.2013 年 XNUMX 月 XNUMX 日付けのスタヴロポリ裁判所の要請により。
DoH は、ペアレンタル コントロール システム、企業システムの内部名前空間へのアクセス、コンテンツ配信最適化システムでのルート選択、違法コンテンツの配布や不正利用との戦いの分野での裁判所命令の遵守などの分野でも問題を引き起こす可能性があります。未成年者。このような問題を回避するために、特定の条件下で DoH を自動的に無効にするチェック システムが実装され、テストされています。
エンタープライズ リゾルバーを識別するために、非典型的なファーストレベル ドメイン (TLD) がチェックされ、システム リゾルバーはイントラネット アドレスを返します。保護者による制限が有効かどうかを判断するために、example Adultsite.com という名前の解決が試行され、その結果が実際の IP と一致しない場合は、DNS レベルでアダルト コンテンツのブロックがアクティブであると見なされます。 Google と YouTube の IP アドレスも兆候としてチェックされ、restrict.youtube.com、forcesafesearch.google.com、restrictmoderate.youtube.com に置き換えられていないかどうかが確認されます。これらのチェックにより、リゾルバーの動作を制御する攻撃者や、トラフィックに干渉できる攻撃者がそのような動作をシミュレートして、DNS トラフィックの暗号化を無効にすることができます。
また、単一の DoH サービスを介して動作すると、DNS を使用してトラフィックのバランスを取るコンテンツ配信ネットワークのトラフィック最適化で問題が発生する可能性があります (CDN ネットワークの DNS サーバーは、リゾルバー アドレスを考慮して応答を生成し、コンテンツを受信するために最も近いホストを提供します)。 このような CDN でユーザーに最も近いリゾルバーから DNS クエリを送信すると、ユーザーに最も近いホストのアドレスが返されますが、集中リゾルバーから DNS クエリを送信すると、DNS-over-HTTPS サーバーに最も近いホスト アドレスが返されます。 。 実際のテストでは、CDN 使用時に DNS-over-HTTP を使用すると、コンテンツ転送の開始前に実質的に遅延が発生しないことがわかりました (高速接続の場合、遅延は 10 ミリ秒を超えず、低速通信チャネルではさらに高速なパフォーマンスが観察されました) )。 クライアントの位置情報を CDN リゾルバーに提供するために、EDNS クライアント サブネット拡張機能の使用も検討されました。
出所: オープンネット.ru