Firefox 開発者
DoH をアクティブ化すると、警告がユーザーに表示されます。これにより、必要に応じて、集中型 DoH DNS サーバーへの接続を拒否し、暗号化されていないクエリをプロバイダーの DNS サーバーに送信する従来のスキームに戻ることができます。 DoH は、DNS リゾルバーの分散インフラストラクチャの代わりに、単一障害点とみなされる特定の DoH サービスへのバインディングを使用します。現在、作業は CloudFlare (デフォルト) と CloudFlare の 2 つの DNS プロバイダーを通じて提供されています。
プロバイダーを変更するか、DoH を無効にする
DoH は、プロバイダーの DNS サーバーを介した要求されたホスト名に関する情報の漏洩の防止、MITM 攻撃や DNS トラフィックのスプーフィングへの対処 (公衆 Wi-Fi への接続時など)、DNS でのブロックへの対抗に役立つことを思い出してください。レベル(DoH は、DPI レベルで実装されたブロッキングをバイパスする領域で VPN を置き換えることはできません)、または DNS サーバーに直接アクセスできない場合(たとえば、プロキシを介して作業する場合)の作業を整理するために使用します。 通常の状況では、DNS リクエストがシステム構成で定義された DNS サーバーに直接送信される場合、DoH の場合、ホストの IP アドレスを決定するリクエストは HTTPS トラフィックにカプセル化されて HTTP サーバーに送信され、そこでリゾルバーが処理します。 Web API経由でのリクエスト。 既存の DNSSEC 標準では、クライアントとサーバーの認証にのみ暗号化が使用されますが、トラフィックを傍受から保護したり、リクエストの機密性を保証したりすることはありません。
Firefox で提供される DoH プロバイダーを選択するには、
DoH は注意して使用する必要があります。たとえば、ロシア連邦では、IP アドレス 104.16.248.249 と 104.16.249.249 は、Firefox で提供されるデフォルトの DoH サーバー mozilla.cloudflare-dns.com に関連付けられています。
DoH は、ペアレンタル コントロール システム、企業システムの内部名前空間へのアクセス、コンテンツ配信最適化システムでのルート選択、違法コンテンツの配布や不正利用との戦いの分野での裁判所命令の遵守などの分野でも問題を引き起こす可能性があります。未成年者。このような問題を回避するために、特定の条件下で DoH を自動的に無効にするチェック システムが実装され、テストされています。
エンタープライズ リゾルバーを識別するために、非典型的なファーストレベル ドメイン (TLD) がチェックされ、システム リゾルバーはイントラネット アドレスを返します。保護者による制限が有効かどうかを判断するために、example Adultsite.com という名前の解決が試行され、その結果が実際の IP と一致しない場合は、DNS レベルでアダルト コンテンツのブロックがアクティブであると見なされます。 Google と YouTube の IP アドレスも兆候としてチェックされ、restrict.youtube.com、forcesafesearch.google.com、restrictmoderate.youtube.com に置き換えられていないかどうかが確認されます。これらのチェックにより、リゾルバーの動作を制御する攻撃者や、トラフィックに干渉できる攻撃者がそのような動作をシミュレートして、DNS トラフィックの暗号化を無効にすることができます。
また、単一の DoH サービスを介して動作すると、DNS を使用してトラフィックのバランスを取るコンテンツ配信ネットワークのトラフィック最適化で問題が発生する可能性があります (CDN ネットワークの DNS サーバーは、リゾルバー アドレスを考慮して応答を生成し、コンテンツを受信するために最も近いホストを提供します)。 このような CDN でユーザーに最も近いリゾルバーから DNS クエリを送信すると、ユーザーに最も近いホストのアドレスが返されますが、集中リゾルバーから DNS クエリを送信すると、DNS-over-HTTPS サーバーに最も近いホスト アドレスが返されます。 。 実際のテストでは、CDN 使用時に DNS-over-HTTP を使用すると、コンテンツ転送の開始前に実質的に遅延が発生しないことがわかりました (高速接続の場合、遅延は 10 ミリ秒を超えず、低速通信チャネルではさらに高速なパフォーマンスが観察されました) )。 クライアントの位置情報を CDN リゾルバーに提供するために、EDNS クライアント サブネット拡張機能の使用も検討されました。
出所: オープンネット.ru