Pangembang Firefox о завершении тестирования поддержки DNS поверх HTTPS (DoH, DNS over HTTPS) и намерении в конце сентября включить данную технологию по умолчанию для пользователей из США. Включение будет производиться поступательно, вначале для нескольких процентов пользователей, а в случае отсутствия проблем постепенно доводя до 100%. После охвата США будет рассмотрена возможность включения DoH и в других странах.
Проводимые в течение года тесты показали надёжность и хорошую производительность сервиса, а также позволили выявить некоторые ситуации, когда DoH может приводить к проблемам, и разработать решения для их обхода (например, разобраны с оптимизацией трафика в сетях доставки контента, родительским контролем и корпоративными внутренними DNS-зонами).
Важность шифрования DNS-трафика оценивается как принципиально важный фактор защиты пользователей, поэтому DoH решено включить по умолчанию, но на первом этапе только для пользователей из США. После активации DoH пользователю будет выведено предупреждение, которое позволит при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера (вместо распределённой инфраструктуры резолверов DNS, в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа).
При активации DoH возможно нарушение работы систем родительского контроля и корпоративных сетей, использующих доступную только для внутренней сети структуру имён DNS для преобразования интранет-адресов и корпоративных хостов. Для решения проблем с подобными системами добавлена система проверок, автоматически отключающих DoH. Проверки выполняются при каждом запуске браузера или при определении изменения подсети.
Автоматический возврат на использование штатного резолвера операционной системы также предусмотрен при возникновении сбоев при резолвинге через DoH (например, при нарушении сетевой доступности с провайдером DoH или возникновении сбоев в его инфраструктуре). Смысл подобных проверок сомнителен, так как никто не мешает атакующим, контролирующим работу резолвера или способным вмешаться в трафик, симулировать подобное поведение для отключения шифрования DNS-трафика. Проблема решена добавлением в настройки пункта «DoH always» (по молчанию не активен), при установке которого автоматическое отключение не применяется, что является разумным компромиссом.
Для определения корпоративных резолверов выполняются проверки нетипичных доменов первого уровня (TLD) и возвращение системным резолвером интранет-адресов. Для определения включения родительского контроля осуществляется попытка резолвинга имени exampleadultsite.com и если результат не совпадает с фактическим IP, считается, что активна блокировка взрослого контента на уровне DNS. В качестве признаков также проверяются IP-адреса Google и YouTube на предмет их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com. Дополнительно Mozilla внедрить единый проверочный хост , который могут использовать интернет-провайдеры и сервисы родительского контроля в качестве метки для отключения DoH (если хост не определяется, Firefox отключает DoH).
Nggarap layanan DoH siji uga bisa nyebabake masalah karo optimasi lalu lintas ing jaringan pangiriman konten sing ngimbangi lalu lintas nggunakake DNS (server DNS jaringan CDN ngasilake respon kanthi njupuk alamat solver lan nyedhiyakake host sing paling cedhak kanggo nampa konten kasebut). Ngirim pitakon DNS saka solver sing paling cedhak karo pangguna ing CDN kasebut ngasilake alamat host sing paling cedhak karo pangguna, nanging ngirim pitakon DNS saka solver terpusat bakal ngasilake alamat host sing paling cedhak karo server DNS-over-HTTPS. . Tes ing praktik nuduhake yen panggunaan DNS-over-HTTP nalika nggunakake CDN nyebabake meh ora ana wektu tundha sadurunge wiwitan transfer konten (kanggo sambungan cepet, telat ora ngluwihi 10 milidetik, lan kinerja sing luwih cepet diamati ing saluran komunikasi sing alon. ). Panggunaan ekstensi Subnet Klien EDNS uga dianggep nyedhiyakake informasi lokasi klien menyang solver CDN.
Elinga yen DoH bisa migunani kanggo nyegah bocor informasi babagan jeneng host sing dijaluk liwat server DNS saka panyedhiya, nglawan serangan MITM lan spoofing lalu lintas DNS, nyegah pamblokiran ing tingkat DNS, utawa kanggo ngatur karya yen kedadeyan kasebut. ora bisa langsung ngakses server DNS (contone, nalika nggarap proxy). Yen ing kahanan normal, panyuwunan DNS langsung dikirim menyang server DNS sing ditetepake ing konfigurasi sistem, banjur ing kasus DoH, panjalukan kanggo nemtokake alamat IP inang wis encapsulated ing lalu lintas HTTPS lan dikirim menyang server HTTP, ngendi solver proses. panjalukan liwat API Web. Standar DNSSEC sing ana nggunakake enkripsi mung kanggo otentikasi klien lan server, nanging ora nglindhungi lalu lintas saka interception lan ora njamin rahasia panjalukan.
Kanggo ngaktifake DoH ing babagan:config, sampeyan kudu ngganti Nilai saka network.trr.mode variabel, kang wis didhukung wiwit Firefox 60. Nilai 0 disables DoH rampung; 1 - DNS utawa DoH digunakake, endi wae sing luwih cepet; 2 - DoH digunakake minangka standar, lan DNS digunakake minangka pilihan mundur; 3 - mung DoH digunakake; 4 - mode mirroring ing ngendi DoH lan DNS digunakake bebarengan. Kanthi gawan, server DNS CloudFlare digunakake, nanging bisa diganti liwat parameter network.trr.uri, contone, sampeyan bisa nyetel "https://dns.google.com/experimental" utawa "https://9.9.9.9". .XNUMX/dns-query "
Source: opennet.ru