Mozilla、Firefox で DNS-over-HTTPS をデフォルトで有効にするよう移行

Firefox 開発者 発表した DNS over HTTPS (DoH、DNS over HTTPS) のサポートのテスト完了と、100 月末に米国ユーザーに対してこのテクノロジーをデフォルトで有効にする予定について。 アクティベーションは段階的に実行され、最初は数パーセントのユーザーに対して行われ、問題がなければ徐々に XNUMX% まで増加します。 米国がカバーされると、DoH は他の国でも適用されることが検討されます。

年間を通じて実施されたテストでは、サービスの信頼性と良好なパフォーマンスが示されたほか、DoH が問題を引き起こす可能性のあるいくつかの状況を特定し、それらを回避するソリューションを開発することも可能になりました (例: 逆アセンブル) 問題 コンテンツ配信ネットワーク、ペアレンタル コントロール、企業内部 DNS ゾーンでのトラフィックの最適化など）。

DNS トラフィックの暗号化の重要性は、ユーザーを保護する上で基本的に重要な要素として評価されているため、デフォルトで DoH を有効にすることが決定されましたが、最初の段階では米国のユーザーのみが対象でした。 DoH をアクティブ化すると、ユーザーは、必要に応じて、集中型 DoH DNS サーバーへの接続を拒否し、暗号化されていないリクエストをプロバイダーの DNS サーバーに送信する従来のスキーム (DNS リゾルバーの分散インフラストラクチャの代わりに) に戻すことができる警告を受け取ります。 DoH は特定の DoH サービスへのバインディングを使用します。これは単一障害点とみなされる可能性があります)。

DoH がアクティブになると、イントラネット アドレスと企業ホストを解決するために内部ネットワーク専用の DNS 名構造を使用するペアレンタル コントロール システムと企業ネットワークが中断される可能性があります。 このようなシステムの問題を解決するために、DoH を自動的に無効にするチェック システムが追加されました。 チェックは、ブラウザが起動されるたび、またはサブネットの変更が検出されるたびに実行されます。

DoH 経由の解決中に障害が発生した場合 (たとえば、DoH プロバイダーとのネットワーク可用性が中断された場合、またはそのインフラストラクチャで障害が発生した場合)、標準のオペレーティング システム リゾルバーの使用に自動的に戻ることもできます。 リゾルバーの動作を制御する攻撃者やトラフィックに干渉できる攻撃者が同様の動作をシミュレートして DNS トラフィックの暗号化を無効にすることを誰も阻止できないため、このようなチェックの意味には疑問があります。 この問題は、「常に DoH」項目を設定に追加することで解決されました (サイレントに非アクティブになります)。設定すると、自動シャットダウンは適用されません。これは合理的な妥協策です。

エンタープライズ リゾルバーを識別するために、非典型的なファーストレベル ドメイン (TLD) がチェックされ、システム リゾルバーはイントラネット アドレスを返します。 保護者による制限が有効かどうかを判断するために、example Adultsite.com という名前の解決が試行され、その結果が実際の IP と一致しない場合は、DNS レベルでアダルト コンテンツのブロックがアクティブであると見なされます。 Google と YouTube の IP アドレスも兆候としてチェックされ、restrict.youtube.com、forcesafesearch.google.com、restrictmoderate.youtube.com に置き換えられていないかどうかが確認されます。 追加の Mozilla 提供 単一のテストホストを実装する アプリケーションDNS.netを使用する、ISP およびペアレンタル コントロール サービスは、DoH を無効にするフラグとして使用できます (ホストが検出されない場合、Firefox は DoH を無効にします)。

また、単一の DoH サービスを介して動作すると、DNS を使用してトラフィックのバランスを取るコンテンツ配信ネットワークのトラフィック最適化で問題が発生する可能性があります (CDN ネットワークの DNS サーバーは、リゾルバー アドレスを考慮して応答を生成し、コンテンツを受信するために最も近いホストを提供します)。 このような CDN でユーザーに最も近いリゾルバーから DNS クエリを送信すると、ユーザーに最も近いホストのアドレスが返されますが、集中リゾルバーから DNS クエリを送信すると、DNS-over-HTTPS サーバーに最も近いホスト アドレスが返されます。 。 実際のテストでは、CDN 使用時に DNS-over-HTTP を使用すると、コンテンツ転送の開始前に実質的に遅延が発生しないことがわかりました (高速接続の場合、遅延は 10 ミリ秒を超えず、低速通信チャネルではさらに高速なパフォーマンスが観察されました) ）。 クライアントの位置情報を CDN リゾルバーに提供するために、EDNS クライアント サブネット拡張機能の使用も検討されました。

DoH は、プロバイダーの DNS サーバーを介した要求されたホスト名に関する情報の漏洩の防止、MITM 攻撃や DNS トラフィックのスプーフィングへの対処、DNS レベルでのブロックへの対抗、あるいは、DNS レベルでのブロッキングへの対処、または、DNS トラフィックが発生した場合の作業の整理に役立つことを思い出してください。 DNS サーバーに直接アクセスすることはできません (たとえば、プロキシを介して作業している場合)。 通常の状況では、DNS リクエストがシステム構成で定義された DNS サーバーに直接送信される場合、DoH の場合、ホストの IP アドレスを決定するリクエストは HTTPS トラフィックにカプセル化されて HTTP サーバーに送信され、そこでリゾルバーが処理します。 Web API経由でのリクエスト。 既存の DNSSEC 標準では、クライアントとサーバーの認証にのみ暗号化が使用されますが、トラフィックを傍受から保護したり、リクエストの機密性を保証したりすることはありません。

about:config で DoH を有効にするには、network.trr.mode 変数の値を変更する必要があります。この変数は Firefox 60 以降でサポートされています。値 0 は DoH を完全に無効にします。 1 - DNS または DoH のどちらか速い方が使用されます。 2 - DoH がデフォルトで使用され、DNS がフォールバック オプションとして使用されます。 3 - DoH のみが使用されます。 4 - DoH と DNS が並行して使用されるミラーリング モード。 デフォルトでは、CloudFlare DNS サーバーが使用されますが、network.trr.uri パラメーターを使用して変更できます。たとえば、「https://dns.google.com/experimental」または「https://9.9.9.9」を設定できます。 .XNUMX/dns-query "

出所： オープンネット.ru