„Firefox“ kūrėjai apie DNS per HTTPS (DoH, DNS per HTTPS) testavimo užbaigimą ir ketinimą rugsėjo pabaigoje įgalinti šią technologiją JAV vartotojams pagal numatytuosius nustatymus. Aktyvinimas bus vykdomas palaipsniui, iš pradžių keliems procentams vartotojų, o jei nebus problemų, palaipsniui didinant iki 100%. Kai bus įtraukta JAV, DoH bus svarstoma dėl įtraukimo į kitas šalis.
Visus metus atlikti bandymai parodė paslaugos patikimumą ir gerą našumą, taip pat leido nustatyti kai kurias situacijas, kuriose DoH gali sukelti problemų ir sukurti sprendimus, kaip jas apeiti (pavyzdžiui, išmontuoti su srauto optimizavimu turinio pristatymo tinkluose, tėvų kontrolėje ir įmonės vidinėse DNS zonose).
DNS srauto šifravimo svarba vertinama kaip iš esmės svarbus veiksnys saugant vartotojus, todėl buvo nuspręsta įjungti DoH pagal nutylėjimą, tačiau pirmajame etape tik vartotojams iš JAV. Suaktyvinęs DoH, vartotojas gaus įspėjimą, kuris leis, jei pageidaujama, atsisakyti susisiekti su centralizuotais DoH DNS serveriais ir grįžti prie tradicinės nešifruotų užklausų siuntimo į teikėjo DNS serverį schemos (vietoj paskirstytos DNS sprendinių infrastruktūros, DoH naudoja susiejimą su konkrečia DoH paslauga, kuri gali būti laikoma vienu gedimo tašku).
Jei suaktyvinta DoH, gali sutrikti tėvų kontrolės sistemos ir įmonių tinklai, kurie naudoja tik vidinio tinklo DNS vardų struktūrą, kad nustatytų intraneto adresus ir įmonės pagrindinius kompiuterius. Norint išspręsti tokių sistemų problemas, buvo pridėta patikrų sistema, kuri automatiškai išjungia DoH. Patikrinimai atliekami kiekvieną kartą paleidus naršyklę arba aptikus potinklio pakeitimą.
Taip pat numatytas automatinis grįžimas prie standartinio operacinės sistemos sprendiklio naudojimo, jei sprendžiant per DoH atsiranda gedimų (pavyzdžiui, sutrinka tinklo pasiekiamumas su DoH teikėju arba atsiranda gedimų jo infrastruktūroje). Tokių patikrinimų prasmė abejotina, nes niekas netrukdo užpuolikams, kontroliuojantiems sprendiklio veikimą arba galintiems trukdyti srautui, imituoti panašų elgesį ir išjungti DNS srauto šifravimą. Problema buvo išspręsta prie nustatymų pridėjus elementą „DoH always“ (tyliai neaktyvus), kai nustatyta, automatinis išjungimas netaikomas, o tai yra pagrįstas kompromisas.
Norint identifikuoti įmonės sprendimus, tikrinami netipiniai pirmojo lygio domenai (TLD), o sistemos sprendėjas pateikia intraneto adresus. Norint nustatyti, ar įgalinta tėvų kontrolė, bandoma nustatyti pavadinimą exampleadultsite.com ir, jei rezultatas neatitinka tikrojo IP, laikoma, kad suaugusiesiems skirto turinio blokavimas yra aktyvus DNS lygiu. „Google“ ir „YouTube“ IP adresai taip pat tikrinami kaip ženklai, siekiant išsiaiškinti, ar juos pakeitė limit.youtube.com, forcesafesearch.google.com ir limitmoderate.youtube.com. Papildoma „Mozilla“. įdiegti vieną bandomąjį pagrindinį kompiuterį , kurią IPT ir tėvų kontrolės tarnybos gali naudoti kaip žymą, kad išjungtų DoH (jei priegloba neaptinkama, „Firefox“ išjungia DoH).
Naudojant vieną DoH paslaugą taip pat gali kilti problemų dėl srauto optimizavimo turinio pristatymo tinkluose, kurie subalansuoja srautą naudojant DNS (CDN tinklo DNS serveris generuoja atsakymą, atsižvelgdamas į sprendiklio adresą ir pateikia artimiausią pagrindinį kompiuterį, kad gautų turinį). Siunčiant DNS užklausą iš arčiausiai vartotojo esančio sprendiklio tokiuose CDN, bus grąžinamas arčiausiai vartotojo esančio pagrindinio kompiuterio adresas, tačiau siunčiant DNS užklausą iš centralizuoto sprendiklio, bus grąžintas prieglobos adresas, esantis arčiausiai DNS per HTTPS serverio. . Praktikoje atliktas testavimas parodė, kad naudojant DNS-over-HTTP, kai naudojamas CDN, beveik nebuvo uždelsta iki turinio perdavimo pradžios (greito ryšio atveju vėlavimas neviršijo 10 milisekundžių, o lėtuose ryšio kanaluose buvo stebimas dar greitesnis veikimas ). Taip pat buvo manoma, kad naudojant EDNS kliento potinklio plėtinį CDN sprendikliui pateikiama kliento vietos informacija.
Prisiminkime, kad DoH gali būti naudinga užkertant kelią informacijos apie prašomus pagrindinio kompiuterio pavadinimus nutekėjimui per tiekėjų DNS serverius, kovojant su MITM atakomis ir DNS srauto klastojimu, stabdant blokavimą DNS lygmeniu arba organizuojant darbą tuo atveju, kai neįmanoma tiesiogiai pasiekti DNS serverių (pavyzdžiui, kai dirbate per tarpinį serverį). Jei įprastoje situacijoje DNS užklausos yra tiesiogiai siunčiamos į sistemos konfigūracijoje nurodytus DNS serverius, tai DoH atveju užklausa nustatyti pagrindinio kompiuterio IP adresą yra inkapsuliuojama į HTTPS srautą ir siunčiama į HTTP serverį, kur sprendiklis apdoroja. užklausų per žiniatinklio API. Esamas DNSSEC standartas naudoja šifravimą tik kliento ir serverio autentifikavimui, tačiau neapsaugo srauto nuo perėmimo ir negarantuoja užklausų konfidencialumo.
Norėdami įjungti DoH maždaug:config, turite pakeisti kintamojo network.trr.mode reikšmę, kuri palaikoma nuo Firefox 60. Vertė 0 visiškai išjungia DoH; 1 – naudojamas DNS arba DoH, atsižvelgiant į tai, kuris greitesnis; 2 – DoH naudojamas pagal numatytuosius nustatymus, o DNS naudojamas kaip atsarginė parinktis; 3 - naudojamas tik DoH; 4 - veidrodinis režimas, kuriame lygiagrečiai naudojami DoH ir DNS. Pagal numatytuosius nustatymus naudojamas „CloudFlare“ DNS serveris, tačiau jį galima pakeisti naudojant parametrą network.trr.uri, pavyzdžiui, galite nustatyti „https://dns.google.com/experimental“ arba „https://9.9.9.9“ .XNUMX/dns-query "
Šaltinis: opennet.ru