Mozilla는 Firefox에서 기본적으로 DNS-over-HTTPS를 활성화하도록 이동합니다.

파이어폭스 개발자 발표하다 HTTPS를 통한 DNS(DoH, HTTPS를 통한 DNS) 지원 테스트 완료와 100월 말 미국 사용자를 대상으로 이 기술을 기본적으로 활성화하려는 의도에 대해 알려드립니다. 활성화는 처음에는 소수의 사용자를 대상으로 점진적으로 수행되며, 문제가 없으면 점차적으로 XNUMX%까지 증가합니다. 미국이 포함되면 DoH는 다른 국가에 포함되는 것이 고려될 것입니다.

연중 진행된 테스트를 통해 서비스의 신뢰성과 우수한 성능이 입증되었으며, DoH가 문제를 일으킬 수 있는 일부 상황을 식별하고 이를 회피할 수 있는 솔루션 개발(예: 분해)이 가능해졌습니다. 문제 콘텐츠 전달 네트워크, 자녀 보호 기능 및 기업 내부 DNS 영역의 트래픽 최적화 포함).

DNS 트래픽 암호화의 중요성은 사용자 보호에 있어서 근본적으로 중요한 요소로 평가되어 DoH를 기본으로 활성화하기로 결정했으나, XNUMX단계에서는 미국 사용자들에게만 적용했습니다. DoH를 활성화한 후 사용자는 원할 경우 중앙 집중식 DoH DNS 서버 연결을 거부하고 암호화되지 않은 요청을 공급자의 DNS 서버(DNS 확인자의 분산 인프라 대신)로 보내는 기존 방식으로 돌아갈 수 있도록 허용하는 경고를 받게 됩니다. DoH는 특정 DoH 서비스에 대한 바인딩을 사용하며 이는 단일 실패 지점으로 간주될 수 있습니다.

DoH가 활성화되면 내부 네트워크 전용 DNS 이름 구조를 사용하여 인트라넷 주소와 회사 호스트를 확인하는 자녀 보호 시스템 및 회사 네트워크가 중단될 수 있습니다. 이러한 시스템의 문제를 해결하기 위해 DoH를 자동으로 비활성화하는 검사 시스템이 추가되었습니다. 브라우저가 시작될 때마다 또는 서브넷 변경이 감지될 때마다 검사가 수행됩니다.

DoH를 통해 해결하는 동안 오류가 발생하는 경우(예: DoH 공급자의 네트워크 가용성이 중단되거나 해당 인프라에서 오류가 발생하는 경우) 표준 운영 체제 확인 프로그램 사용으로 자동 복귀됩니다. 확인자의 작업을 제어하거나 트래픽을 방해할 수 있는 공격자가 DNS 트래픽 암호화를 비활성화하기 위해 유사한 동작을 시뮬레이션하는 것을 누구도 방지할 수 없기 때문에 이러한 검사의 의미는 의문스럽습니다. 설정에 "DoH Always" 항목을 추가하여(자동 비활성) 문제가 해결되었습니다. 설정하면 자동 종료가 적용되지 않습니다. 이는 합리적인 절충안입니다.

엔터프라이즈 확인자를 식별하기 위해 비정형 TLD(XNUMX차 수준 도메인)를 확인하고 시스템 확인자가 인트라넷 주소를 반환합니다. 자녀 보호 기능이 활성화되어 있는지 확인하기 위해 exampleadultsite.com이라는 이름을 확인하려고 시도하며 결과가 실제 IP와 일치하지 않으면 DNS 수준에서 성인용 콘텐츠 차단이 활성화된 것으로 간주됩니다. Google 및 YouTube IP 주소도 제한.youtube.com, forcesafesearch.google.com 및 제한중단.youtube.com으로 대체되었는지 확인하기 위한 표시로 확인됩니다. 추가 모질라 제공 단일 테스트 호스트 구현 사용-응용 프로그램-dns.netISP 및 자녀 보호 서비스는 DoH를 비활성화하기 위한 플래그로 사용할 수 있습니다(호스트가 감지되지 않으면 Firefox는 DoH를 비활성화합니다).

단일 DoH 서비스를 통해 작업하면 DNS를 사용하여 트래픽 균형을 맞추는 콘텐츠 전달 네트워크에서 트래픽 최적화 문제가 발생할 수도 있습니다(CDN 네트워크의 DNS 서버는 확인자 주소를 고려하여 응답을 생성하고 콘텐츠를 수신할 가장 가까운 호스트를 제공합니다). 이러한 CDN에서 사용자에게 가장 가까운 확인자로부터 DNS 쿼리를 보내면 사용자에게 가장 가까운 호스트의 주소가 반환되지만, 중앙 집중식 확인자에서 DNS 쿼리를 보내면 DNS-over-HTTPS 서버에 가장 가까운 호스트 주소가 반환됩니다. . 실제로 테스트한 결과 CDN을 사용할 때 DNS-over-HTTP를 사용하면 콘텐츠 전송이 시작되기 전에 사실상 지연이 발생하지 않는 것으로 나타났습니다(빠른 연결의 경우 지연이 10밀리초를 초과하지 않았으며 느린 통신 채널에서는 훨씬 더 빠른 성능이 관찰되었습니다). ). CDN 확인자에 클라이언트 위치 정보를 제공하기 위해 EDNS 클라이언트 서브넷 확장을 사용하는 것도 고려되었습니다.

DoH는 공급자의 DNS 서버를 통해 요청된 호스트 이름에 대한 정보 유출을 방지하고, MITM 공격 및 DNS 트래픽 스푸핑에 맞서고, DNS 수준에서 차단에 대응하거나, 다음과 같은 경우 작업을 구성하는 데 유용할 수 있습니다. DNS 서버에 직접 액세스하는 것은 불가능합니다(예: 프록시를 통해 작업하는 경우). 정상적인 상황에서 DNS 요청이 시스템 구성에 정의된 DNS 서버로 직접 전송된다면 DoH의 경우 호스트의 IP 주소를 확인하기 위한 요청이 HTTPS 트래픽에 캡슐화되어 확인자가 처리하는 HTTP 서버로 전송됩니다. 웹 API를 통해 요청합니다. 기존 DNSSEC 표준은 클라이언트와 서버를 인증하는 데에만 암호화를 사용하지만 트래픽을 가로채는 것을 방지하지 않으며 요청의 기밀성을 보장하지 않습니다.

about:config에서 DoH를 활성화하려면 Firefox 60부터 지원되는 network.trr.mode 변수의 값을 변경해야 합니다. 값이 0이면 DoH가 완전히 비활성화됩니다. 1 - DNS 또는 DoH 중 더 빠른 쪽이 사용됩니다. 2 - DoH는 기본적으로 사용되며 DNS는 대체 옵션으로 사용됩니다. 3 - DoH만 사용됩니다. 4 - DoH와 DNS가 병렬로 사용되는 미러링 모드입니다. 기본적으로 CloudFlare DNS 서버가 사용되지만 network.trr.uri 매개변수를 통해 변경할 수 있습니다. 예를 들어 "https://dns.google.com/experimental" 또는 "https://9.9.9.9"로 설정할 수 있습니다. .XNUMX/dns-쿼리 "

출처 : opennet.ru