Nga Kaihanga Firefox о завершении тестирования поддержки DNS поверх HTTPS (DoH, DNS over HTTPS) и намерении в конце сентября включить данную технологию по умолчанию для пользователей из США. Включение будет производиться поступательно, вначале для нескольких процентов пользователей, а в случае отсутствия проблем постепенно доводя до 100%. После охвата США будет рассмотрена возможность включения DoH и в других странах.
Проводимые в течение года тесты показали надёжность и хорошую производительность сервиса, а также позволили выявить некоторые ситуации, когда DoH может приводить к проблемам, и разработать решения для их обхода (например, разобраны с оптимизацией трафика в сетях доставки контента, родительским контролем и корпоративными внутренними DNS-зонами).
Важность шифрования DNS-трафика оценивается как принципиально важный фактор защиты пользователей, поэтому DoH решено включить по умолчанию, но на первом этапе только для пользователей из США. После активации DoH пользователю будет выведено предупреждение, которое позволит при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера (вместо распределённой инфраструктуры резолверов DNS, в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа).
При активации DoH возможно нарушение работы систем родительского контроля и корпоративных сетей, использующих доступную только для внутренней сети структуру имён DNS для преобразования интранет-адресов и корпоративных хостов. Для решения проблем с подобными системами добавлена система проверок, автоматически отключающих DoH. Проверки выполняются при каждом запуске браузера или при определении изменения подсети.
Автоматический возврат на использование штатного резолвера операционной системы также предусмотрен при возникновении сбоев при резолвинге через DoH (например, при нарушении сетевой доступности с провайдером DoH или возникновении сбоев в его инфраструктуре). Смысл подобных проверок сомнителен, так как никто не мешает атакующим, контролирующим работу резолвера или способным вмешаться в трафик, симулировать подобное поведение для отключения шифрования DNS-трафика. Проблема решена добавлением в настройки пункта «DoH always» (по молчанию не активен), при установке которого автоматическое отключение не применяется, что является разумным компромиссом.
Для определения корпоративных резолверов выполняются проверки нетипичных доменов первого уровня (TLD) и возвращение системным резолвером интранет-адресов. Для определения включения родительского контроля осуществляется попытка резолвинга имени exampleadultsite.com и если результат не совпадает с фактическим IP, считается, что активна блокировка взрослого контента на уровне DNS. В качестве признаков также проверяются IP-адреса Google и YouTube на предмет их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com. Дополнительно Mozilla внедрить единый проверочный хост , который могут использовать интернет-провайдеры и сервисы родительского контроля в качестве метки для отключения DoH (если хост не определяется, Firefox отключает DoH).
Ko te mahi i roto i te ratonga DoH kotahi ka raru pea ki te arotautanga waka i roto i nga whatunga tuku ihirangi e whakataurite ana i nga waka ma te whakamahi i te DNS (ko te tūmau DNS a te whatunga CDN ka whakaputa whakautu me te whakaaro ki te wahitau kaiwhakatau me te whakarato i te kaihautu tata ki te whiwhi i nga ihirangi). Ko te tuku patai DNS mai i te kaiwhakatau e tata ana ki te kaiwhakamahi i roto i aua CDN ka whakahoki te wahitau o te kaihautu e tata ana ki te kaiwhakamahi, engari ko te tuku patai DNS mai i te kaiwhakatau matua ka whakahoki te wahitau kaihautu e tata ana ki te tūmau DNS-over-HTTPS. . Ko te whakamatautau i roto i nga mahi i whakaatu ko te whakamahi i te DNS-over-HTTP i te wa e whakamahi ana i te CDN i tata ki te kore whakaroa i mua i te tiimata o te whakawhiti ihirangi (mo nga hononga tere, kaore i neke ake te roa o te 10 milliseconds, me te tere ake o te mahi i kitea i runga i nga hongere korero puhoi. ). Ko te whakamahi i te toronga Roopuroto Kiritaki EDNS i whakaarohia hei whakarato i nga korero mo te waahi a te kiritaki ki te kaiwhakatau CDN.
Kia maumahara tatou ka whai hua a DoH mo te aukati i nga rerenga korero mo nga ingoa kaihautu i tonoa mai i nga kaiwhakarato DNS o nga kaiwhakarato, te whakaeke i nga whakaeke MITM me te whakapohehe i nga hokohoko DNS, te aukati i te aukati i te taumata DNS, mo te whakarite mahi ranei mena ka taea. e kore e taea te uru tika ki nga tūmau DNS (hei tauira, i te wa e mahi ana ma te takawaenga). Mena i roto i nga ahuatanga noa ka tukuna tika nga tono DNS ki nga kaiwhakarato DNS kua tautuhia i roto i te whirihoranga punaha, na mo te take o DoH, ko te tono ki te whakatau i te wahitau IP o te kaihautu ka whakauruhia ki roto i te hokohoko HTTPS ka tukuna ki te tūmau HTTP, kei reira nga mahi whakatika. tono ma te API Tukutuku. Ko te paerewa DNSSEC o naianei e whakamahi ana i te whakamunatanga hei whakamotuhēhē i te kiritaki me te tūmau, engari karekau e tiaki i nga waka mai i te haukoti me te kore e whakamana i te noho muna o nga tono.
Kia taea ai te DoH i roto i about:config, me huri koe i te uara o te taurangi network.trr.mode, kua tautokohia mai i te Firefox 60. Ko te uara o te 0 ka whakakorehia te DoH katoa; 1 - Ka whakamahia te DNS, te DoH ranei, ahakoa he tere ake; 2 - Ka whakamahia te DoH ma te taunoa, ka whakamahia te DNS hei whiringa whakamuri; 3 - DoH anake ka whakamahia; 4 - aratau whakaata e whakamahia ana te DoH me te DNS i roto i te whakarara. Ma te taunoa, ka whakamahia te CloudFlare DNS server, engari ka taea te whakarereke ma te tawhā network.trr.uri, hei tauira, ka taea e koe te whakarite "https://dns.google.com/experimental" ranei "https://9.9.9.9 .XNUMX/dns-uiui "
Source: opennet.ru