미국 사용자의 경우 Firefox에서 DNS-over-HTTPS가 기본적으로 활성화되어 있습니다.

파이어폭스 개발자 발표하다 미국 사용자에 대해 기본적으로 HTTPS를 통한 DNS(DoH, HTTPS를 통한 DNS) 모드 활성화에 대해 설명합니다. DNS 트래픽의 암호화는 사용자 보호에 있어서 근본적으로 중요한 요소로 간주됩니다. 오늘부터 미국 사용자가 새로 설치하는 경우에는 기본적으로 DoH가 활성화됩니다. 기존 미국 사용자는 몇 주 내에 DoH로 전환될 예정입니다. 유럽 ​​연합 및 기타 국가에서는 현재 기본적으로 DoH를 활성화합니다. 계획하지 않는다.

DoH를 활성화하면 원하는 경우 중앙 DoH DNS 서버 연결을 거부하고 공급자의 DNS 서버에 암호화되지 않은 쿼리를 보내는 기존 방식으로 돌아갈 수 있는 경고가 사용자에게 표시됩니다. DoH는 DNS 확인자의 분산 인프라 대신 단일 실패 지점으로 간주될 수 있는 특정 DoH 서비스에 대한 바인딩을 사용합니다. 현재 작업은 CloudFlare(기본값)와 두 개의 DNS 공급자를 통해 제공됩니다. 다음 DNS.

공급자 변경 또는 DoH 비활성화 하나는 수 네트워크 연결 설정에서. 예를 들어 대체 DoH 서버 "https://dns.google/dns-query"를 지정하여 Google 서버 "https://dns.quad9.net/dns-query" - Quad9 및 "https:/"에 액세스할 수 있습니다. /doh .opendns.com/dns-query" - OpenDNS. About:config는 DoH 작동 모드를 변경할 수 있는 network.trr.mode 설정도 제공합니다. 값이 0이면 DoH가 완전히 비활성화됩니다. 1 - DNS 또는 DoH 중 더 빠른 쪽이 사용됩니다. 2 - DoH는 기본적으로 사용되며 DNS는 대체 옵션으로 사용됩니다. 3 - DoH만 사용됩니다. 4 - DoH와 DNS가 병렬로 사용되는 미러링 모드입니다.

DoH는 공급자의 DNS 서버를 통해 요청된 호스트 이름에 대한 정보 유출을 방지하고, MITM 공격 및 DNS 트래픽 스푸핑(예: 공용 Wi-Fi에 연결할 때)을 방지하고, DNS 차단에 대응하는 데 유용할 수 있다는 점을 기억해 두십시오. 수준(DoH는 DPI 수준에서 구현된 우회 차단 영역에서 VPN을 대체할 수 없음) 또는 DNS 서버에 직접 액세스할 수 없는 경우(예: 프록시를 통해 작업하는 경우) 작업 구성을 위해 사용됩니다. 정상적인 상황에서 DNS 요청이 시스템 구성에 정의된 DNS 서버로 직접 전송된다면 DoH의 경우 호스트의 IP 주소를 확인하기 위한 요청이 HTTPS 트래픽에 캡슐화되어 확인자가 처리하는 HTTP 서버로 전송됩니다. 웹 API를 통해 요청합니다. 기존 DNSSEC 표준은 클라이언트와 서버를 인증하는 데에만 암호화를 사용하지만 트래픽을 가로채는 것을 방지하지 않으며 요청의 기밀성을 보장하지 않습니다.

Firefox에서 제공되는 DoH 공급자를 선택하려면, 요구 사항 신뢰할 수 있는 DNS 확인자에게 DNS 운영자는 서비스 운영을 보장하기 위해서만 확인을 위해 수신한 데이터를 사용할 수 있으며, 24시간 이상 로그를 저장해서는 안 되며, 데이터를 제XNUMX자에게 전송할 수 없으며, 다음에 대한 정보를 공개할 의무가 있습니다. 데이터 처리 방법. 또한 서비스는 법으로 규정된 상황을 제외하고 DNS 트래픽을 검열, 필터링, 방해 또는 차단하지 않는다는 데 동의해야 합니다.

DoH는 주의해서 사용해야 합니다. 예를 들어, 러시아 연방에서는 Firefox에서 제공되는 기본 DoH 서버 mozilla.cloudflare-dns.com과 연결된 IP 주소 104.16.248.249 및 104.16.249.249, 나열된 в 리스트 차단 로스콤나조르 10.06.2013년 XNUMX월 XNUMX일자 스타브로폴 법원의 요청에 따라.

DoH는 또한 자녀 보호 시스템, 기업 시스템의 내부 네임스페이스에 대한 액세스, 콘텐츠 전달 최적화 시스템의 경로 선택, 불법 콘텐츠 배포 및 불법 콘텐츠 이용 방지 분야의 법원 명령 준수 등의 영역에서 문제를 일으킬 수 있습니다. 미성년자. 이러한 문제를 방지하기 위해 특정 조건에서 DoH를 자동으로 비활성화하는 검사 시스템이 구현 및 테스트되었습니다.

엔터프라이즈 확인자를 식별하기 위해 비정형 TLD(XNUMX차 수준 도메인)를 확인하고 시스템 확인자가 인트라넷 주소를 반환합니다. 자녀 보호 기능이 활성화되어 있는지 확인하기 위해 exampleadultsite.com이라는 이름을 확인하려고 시도하며 결과가 실제 IP와 일치하지 않으면 DNS 수준에서 성인용 콘텐츠 차단이 활성화된 것으로 간주됩니다. Google 및 YouTube IP 주소도 제한.youtube.com, forcesafesearch.google.com 및 제한중단.youtube.com으로 대체되었는지 확인하기 위한 표시로 확인됩니다. 이러한 검사를 통해 확인자의 작업을 제어하거나 트래픽을 방해할 수 있는 공격자가 이러한 동작을 시뮬레이션하여 DNS 트래픽 암호화를 비활성화할 수 있습니다.

단일 DoH 서비스를 통해 작업하면 DNS를 사용하여 트래픽 균형을 맞추는 콘텐츠 전달 네트워크에서 트래픽 최적화 문제가 발생할 수도 있습니다(CDN 네트워크의 DNS 서버는 확인자 주소를 고려하여 응답을 생성하고 콘텐츠를 수신할 가장 가까운 호스트를 제공합니다). 이러한 CDN에서 사용자에게 가장 가까운 확인자로부터 DNS 쿼리를 보내면 사용자에게 가장 가까운 호스트의 주소가 반환되지만, 중앙 집중식 확인자에서 DNS 쿼리를 보내면 DNS-over-HTTPS 서버에 가장 가까운 호스트 주소가 반환됩니다. . 실제로 테스트한 결과 CDN을 사용할 때 DNS-over-HTTP를 사용하면 콘텐츠 전송이 시작되기 전에 사실상 지연이 발생하지 않는 것으로 나타났습니다(빠른 연결의 경우 지연이 10밀리초를 초과하지 않았으며 느린 통신 채널에서는 훨씬 더 빠른 성능이 관찰되었습니다). ). CDN 확인자에 클라이언트 위치 정보를 제공하기 위해 EDNS 클라이언트 서브넷 확장을 사용하는 것도 고려되었습니다.

출처 : opennet.ru