Mozilla pēc noklusējuma pārlūkprogrammā Firefox iespējo DNS-over-HTTPS

Firefox izstrādātāji paziņoja par DNS, izmantojot HTTPS (DoH, DNS, izmantojot HTTPS) atbalsta testēšanas pabeigšanu un nodomu septembra beigās iespējot šo tehnoloģiju ASV lietotājiem pēc noklusējuma. Aktivizēšana tiks veikta pakāpeniski, sākotnēji dažiem procentiem lietotāju, un, ja nebūs problēmu, pakāpeniski palielinot līdz 100%. Tiklīdz tas būs ietverts ASV, DoH tiks apsvērta iekļaušana citās valstīs.

Visu gadu veiktie testi parādīja pakalpojuma uzticamību un labu sniegumu, kā arī ļāva identificēt dažas situācijas, kurās DoH var radīt problēmas un izstrādāt risinājumus to apiešanai (piemēram, izjaukts). problēmas ar trafika optimizāciju satura piegādes tīklos, vecāku kontrolē un uzņēmuma iekšējās DNS zonās).

DNS trafika šifrēšanas nozīme tiek novērtēta kā principiāli svarīgs faktors lietotāju aizsardzībā, tāpēc tika nolemts DoH iespējot pēc noklusējuma, bet pirmajā posmā tikai lietotājiem no ASV. Pēc DoH aktivizēšanas lietotājs saņems brīdinājumu, kas ļaus, ja vēlas, atteikties sazināties ar centralizētiem DoH DNS serveriem un atgriezties pie tradicionālās shēmas nešifrētu pieprasījumu nosūtīšanai uz pakalpojumu sniedzēja DNS serveri (nevis izkliedētas DNS risinātāju infrastruktūras, DoH izmanto saistību ar konkrētu DoH pakalpojumu , ko var uzskatīt par vienu atteices punktu).

Ja ir aktivizēts DoH, var tikt traucētas vecāku kontroles sistēmas un korporatīvie tīkli, kas izmanto tikai iekšējā tīkla DNS nosaukumu struktūru, lai atrisinātu iekštīkla adreses un korporatīvos resursdatorus. Lai atrisinātu problēmas ar šādām sistēmām, ir pievienota pārbaužu sistēma, kas automātiski atspējo DoH. Pārbaudes tiek veiktas katru reizi, kad tiek palaista pārlūkprogramma vai tiek konstatētas apakštīkla izmaiņas.

Automātiska atgriešanās pie standarta operētājsistēmas atrisinātāja izmantošanas tiek nodrošināta arī tad, ja atrisināšanas laikā, izmantojot DoH, rodas kļūmes (piemēram, ja tiek traucēta tīkla pieejamība ar DoH nodrošinātāju vai rodas kļūmes tā infrastruktūrā). Šādu pārbaužu jēga ir apšaubāma, jo neviens neliedz uzbrucējiem, kuri kontrolē atrisinātāja darbību vai spēj traucēt trafiku, simulēt līdzīgu uzvedību, lai atspējotu DNS trafika šifrēšanu. Problēma tika atrisināta, iestatījumos pievienojot vienumu “DoH vienmēr” (klusi neaktīvs), kad tas ir iestatīts, automātiskā izslēgšana netiek piemērota, kas ir saprātīgs kompromiss.

Lai identificētu uzņēmuma atrisinātājus, tiek pārbaudīti netipiski pirmā līmeņa domēni (TLD), un sistēmas risinātājs atgriež iekštīkla adreses. Lai noteiktu, vai ir iespējota vecāku kontrole, tiek mēģināts atrisināt nosaukumu exampleadultsite.com un, ja rezultāts neatbilst faktiskajam IP, tiek uzskatīts, ka DNS līmenī ir aktīva pieaugušajiem paredzētā satura bloķēšana. Google un YouTube IP adreses arī tiek pārbaudītas kā zīmes, lai noskaidrotu, vai tās ir aizstātas ar limit.youtube.com, forcesafesearch.google.com un limitmoderate.youtube.com. Papildu Mozilla piedāvājumus ieviest vienu testa resursdatoru use-application-dns.net, ko interneta pakalpojumu sniedzēji un vecāku kontroles dienesti var izmantot kā karogu, lai atspējotu DoH (ja resursdators netiek atklāts, Firefox atspējo DoH).

Darbs, izmantojot vienu DoH pakalpojumu, var arī radīt problēmas ar trafika optimizāciju satura piegādes tīklos, kas līdzsvaro trafiku, izmantojot DNS (CDN tīkla DNS serveris ģenerē atbildi, ņemot vērā atrisinātāja adresi un nodrošina tuvāko resursdatoru satura saņemšanai). . Nosūtot DNS vaicājumu no lietotājam tuvākā atrisinātāja šādos CDN, tiek atgriezta lietotājam vistuvāk esošā resursdatora adrese, bet, nosūtot DNS vaicājumu no centralizētā atrisinātāja, tiks atgriezta resursdatora adrese, kas ir vistuvāk DNS-over-HTTPS serverim. . Pārbaude praksē parādīja, ka DNS-over-HTTP izmantošana, izmantojot CDN, praktiski neradīja aizkavi pirms satura pārsūtīšanas sākuma (ātriem savienojumiem aizkave nepārsniedza 10 milisekundes, un vēl ātrāka darbība tika novērota lēnos sakaru kanālos ). Tika apsvērta arī EDNS klienta apakštīkla paplašinājuma izmantošana, lai CDN atrisinātājam nodrošinātu klienta atrašanās vietas informāciju.

Atgādināsim, ka DoH var būt noderīgs, lai novērstu informācijas noplūdi par pieprasītajiem resursdatora nosaukumiem caur pakalpojumu sniedzēju DNS serveriem, cīnītos pret MITM uzbrukumiem un DNS trafika viltošanu, cīnītos pret bloķēšanu DNS līmenī vai organizētu darbu, ja tas notiek. nav iespējams tieši piekļūt DNS serveriem (piemēram, strādājot caur starpniekserveri). Ja normālā situācijā DNS pieprasījumi tiek tieši nosūtīti uz sistēmas konfigurācijā definētajiem DNS serveriem, tad DoH gadījumā pieprasījums noteikt saimniekdatora IP adresi tiek iekapsulēts HTTPS trafikā un nosūtīts uz HTTP serveri, kur atrisinātājs apstrādā. pieprasījumus, izmantojot Web API. Esošais DNSSEC standarts izmanto šifrēšanu tikai klienta un servera autentifikācijai, taču neaizsargā trafiku no pārtveršanas un negarantē pieprasījumu konfidencialitāti.

Lai iespējotu DoH failā about:config, jāmaina mainīgā network.trr.mode vērtība, kas tiek atbalstīts kopš Firefox 60. Vērtība 0 pilnībā atspējo DoH; 1 — tiek izmantots DNS vai DoH — atkarībā no tā, kurš ir ātrāks; 2 - DoH tiek izmantots pēc noklusējuma, un DNS tiek izmantots kā rezerves opcija; 3 - tiek izmantots tikai DoH; 4 - spoguļošanas režīms, kurā paralēli tiek izmantots DoH un DNS. Pēc noklusējuma tiek izmantots CloudFlare DNS serveris, taču to var mainīt, izmantojot parametru network.trr.uri, piemēram, varat iestatīt “https://dns.google.com/experimental” vai “https://9.9.9.9 .XNUMX/dns-query "

Avots: opennet.ru