„Firefox“ kūrėjai apie DNS per HTTPS (DoH, DNS per HTTPS) režimo įgalinimą pagal numatytuosius nustatymus JAV vartotojams. DNS srauto šifravimas laikomas iš esmės svarbiu vartotojų apsaugos veiksniu. Nuo šiandien visuose naujuose JAV naudotojų įrenginiuose DoH bus įjungtas pagal numatytuosius nustatymus. Esamus JAV naudotojus planuojama perkelti į DoH per kelias savaites. Europos Sąjungoje ir kitose šalyse kol kas suaktyvinkite DoH pagal numatytuosius nustatymus .
Suaktyvinus DoH, vartotojui rodomas įspėjimas, kuris leidžia, jei pageidaujama, atsisakyti susisiekti su centralizuotais DoH DNS serveriais ir grįžti prie tradicinės nešifruotų užklausų siuntimo į tiekėjo DNS serverį schemos. Vietoj paskirstytos DNS sprendinių infrastruktūros, DoH naudoja susiejimą su konkrečia DoH paslauga, kurią galima laikyti vienu gedimo tašku. Šiuo metu darbas siūlomas per du DNS tiekėjus – CloudFlare (numatytasis) ir .
Pakeiskite teikėją arba išjunkite DoH tinklo ryšio nustatymuose. Pavyzdžiui, galite nurodyti alternatyvų DoH serverį „https://dns.google/dns-query“, kad pasiektumėte „Google“ serverius, „https://dns.quad9.net/dns-query“ – „Quad9“ ir „https:/“. /doh .opendns.com/dns-query“ – OpenDNS. About:config taip pat pateikia nustatymą network.trr.mode, per kurį galite pakeisti DoH veikimo režimą: reikšmė 0 visiškai išjungia DoH; 1 – naudojamas DNS arba DoH, atsižvelgiant į tai, kuris greitesnis; 2 – DoH naudojamas pagal numatytuosius nustatymus, o DNS naudojamas kaip atsarginė parinktis; 3 - naudojamas tik DoH; 4 - veidrodinis režimas, kuriame lygiagrečiai naudojami DoH ir DNS.
Prisiminkime, kad DoH gali būti naudinga siekiant užkirsti kelią informacijos nutekėjimui apie prašomus pagrindinio kompiuterio pavadinimus per teikėjų DNS serverius, kovojant su MITM atakomis ir DNS srauto klastojimu (pavyzdžiui, prisijungiant prie viešojo Wi-Fi), kovojant su blokavimu DNS. lygiu (DoH negali pakeisti VPN DPI lygiu įdiegto blokavimo apėjimo srityje) arba darbo organizavimui, jei neįmanoma tiesiogiai pasiekti DNS serverių (pavyzdžiui, dirbant per tarpinį serverį). Jei įprastoje situacijoje DNS užklausos yra tiesiogiai siunčiamos į sistemos konfigūracijoje nurodytus DNS serverius, tai DoH atveju užklausa nustatyti pagrindinio kompiuterio IP adresą yra inkapsuliuojama į HTTPS srautą ir siunčiama į HTTP serverį, kur sprendiklis apdoroja. užklausų per žiniatinklio API. Esamas DNSSEC standartas naudoja šifravimą tik kliento ir serverio autentifikavimui, tačiau neapsaugo srauto nuo perėmimo ir negarantuoja užklausų konfidencialumo.
Norėdami pasirinkti „Firefox“ siūlomus DoH teikėjus, patikimiems DNS sprendėjams, pagal kuriuos DNS operatorius sprendimui gautus duomenis gali panaudoti tik paslaugos veikimui užtikrinti, žurnalų saugoti ne ilgiau kaip 24 valandas, negali perduoti duomenų tretiesiems asmenims ir privalo atskleisti informaciją apie duomenų apdorojimo metodai. Paslauga taip pat turi sutikti necenzūruoti, nefiltruoti, netrukdyti ir neblokuoti DNS srauto, išskyrus įstatymų numatytas situacijas.
DoH reikia vartoti atsargiai. Pavyzdžiui, Rusijos Federacijoje IP adresai 104.16.248.249 ir 104.16.249.249 susieti su numatytuoju DoH serveriu mozilla.cloudflare-dns.com, siūlomu Firefox, в Stavropolio teismo 10.06.2013 m. birželio XNUMX d. prašymu.
DoH taip pat gali sukelti problemų tokiose srityse kaip tėvų kontrolės sistemos, prieiga prie vidinių vardų erdvių įmonių sistemose, maršruto parinkimas turinio pateikimo optimizavimo sistemose ir teismo įsakymų laikymasis kovos su nelegalaus turinio platinimu ir išnaudojimu nepilnamečių. Siekiant išvengti tokių problemų, buvo įdiegta ir išbandyta patikros sistema, kuri tam tikromis sąlygomis automatiškai išjungia DoH.
Norint identifikuoti įmonės sprendimus, tikrinami netipiniai pirmojo lygio domenai (TLD), o sistemos sprendėjas pateikia intraneto adresus. Norint nustatyti, ar įgalinta tėvų kontrolė, bandoma nustatyti pavadinimą exampleadultsite.com ir, jei rezultatas neatitinka tikrojo IP, laikoma, kad suaugusiesiems skirto turinio blokavimas yra aktyvus DNS lygiu. „Google“ ir „YouTube“ IP adresai taip pat tikrinami kaip ženklai, siekiant išsiaiškinti, ar juos pakeitė limit.youtube.com, forcesafesearch.google.com ir limitmoderate.youtube.com. Šios patikros leidžia užpuolikams, kontroliuojantiems sprendiklio veikimą arba galintiems trukdyti srautui, imituoti tokį elgesį ir išjungti DNS srauto šifravimą.
Naudojant vieną DoH paslaugą taip pat gali kilti problemų dėl srauto optimizavimo turinio pristatymo tinkluose, kurie subalansuoja srautą naudojant DNS (CDN tinklo DNS serveris generuoja atsakymą, atsižvelgdamas į sprendiklio adresą ir pateikia artimiausią pagrindinį kompiuterį, kad gautų turinį). Siunčiant DNS užklausą iš arčiausiai vartotojo esančio sprendiklio tokiuose CDN, bus grąžinamas arčiausiai vartotojo esančio pagrindinio kompiuterio adresas, tačiau siunčiant DNS užklausą iš centralizuoto sprendiklio, bus grąžintas prieglobos adresas, esantis arčiausiai DNS per HTTPS serverio. . Praktikoje atliktas testavimas parodė, kad naudojant DNS-over-HTTP, kai naudojamas CDN, beveik nebuvo uždelsta iki turinio perdavimo pradžios (greito ryšio atveju vėlavimas neviršijo 10 milisekundžių, o lėtuose ryšio kanaluose buvo stebimas dar greitesnis veikimas ). Taip pat buvo manoma, kad naudojant EDNS kliento potinklio plėtinį CDN sprendikliui pateikiama kliento vietos informacija.
Šaltinis: opennet.ru