Програмери на Firefox за стандардно овозможување на режимот DNS преку HTTPS (DoH, DNS преку HTTPS) за корисници од САД. Шифрирањето на сообраќајот DNS се смета за фундаментално важен фактор за заштита на корисниците. Почнувајќи од денес, сите нови инсталации од американски корисници ќе имаат стандардно овозможено DoH. Постоечките корисници од САД треба да бидат префрлени на DoH во рок од неколку недели. Во Европската унија и другите земји, активирајте го DoH стандардно засега .
По активирањето на DoH, се прикажува предупредување до корисникот, кое овозможува, доколку сака, да одбие да контактира со централизираните DNS сервери на DoH и да се врати на традиционалната шема за испраќање нешифрирани прашања до DNS-серверот на давателот. Наместо дистрибуирана инфраструктура на резолутори на DNS, DoH користи врзување за одредена услуга DoH, што може да се смета за единствена точка на неуспех. Во моментов, работата се нуди преку два провајдери на DNS - CloudFlare (стандардно) и .
Променете го провајдерот или оневозможете DoH во поставките за мрежната врска. На пример, можете да наведете алтернативен сервер DoH „https://dns.google/dns-query“ за пристап до серверите на Google, „https://dns.quad9.net/dns-query“ - Quad9 и „https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config ја обезбедува и поставката network.trr.mode, преку која можете да го промените режимот на работа DoH: вредноста 0 целосно го оневозможува DoH; 1 - се користи DNS или DoH, кое и да е побрзо; 2 - DoH се користи стандардно, а DNS се користи како резервна опција; 3 - се користи само DoH; 4 - режим на пресликување во кој DoH и DNS се користат паралелно.
Потсетете се дека DoH може да биде корисно за спречување на протекување информации за бараните имиња на домаќините преку DNS серверите на провајдерите, борба против нападите MITM и измама на сообраќајот DNS (на пример, при поврзување на јавен Wi-Fi), спречување блокирање на ниво DNS (DoH не може да го замени VPN во областа на заобиколување на блокирање имплементирано на ниво на DPI) или за организирање работа во случај да е невозможно директно да се пристапи до серверите DNS (на пример, кога работите преку прокси). Додека во нормална ситуација барањата за DNS директно се испраќаат до серверите DNS дефинирани во системската конфигурација, во случајот со DoH, барањето за одредување на IP адресата на домаќинот е инкапсулирано во сообраќајот HTTPS и се испраќа до серверот HTTP, на кој решавачот обработува барања преку Web API. Тековниот стандард DNSSEC користи шифрирање само за автентикација на клиентот и серверот, но не го штити сообраќајот од пресретнување и не гарантира доверливост на барањата.
За да ги изберете добавувачите на DoH понудени во Firefox, на доверливи резолутори на DNS, според кои операторот DNS може да ги користи добиените податоци за решавање само за да се обезбеди функционирање на услугата, не смее да складира дневници повеќе од 24 часа, не може да пренесува податоци на трети страни и од него се бара да открие информации за методите за обработка на податоците. Услугата, исто така, мора да се обврзе да не цензурира, филтрира, попречува или блокира сообраќајот DNS, освен како што се бара со закон.
DoH треба да се користи со претпазливост. На пример, во Руската Федерација, IP адресите 104.16.248.249 и 104.16.249.249 поврзани со стандардниот DoH сервер mozilla.cloudflare-dns.com понуден во Firefox, в по барање на судот во Ставропол од 10.06.2013 година.
DoH, исто така, може да предизвика проблеми во областите како што се системите за родителска контрола, пристапот до внатрешните именски простори во корпоративните системи, изборот на маршрути во системите за оптимизација на испорака на содржина и усогласеноста со судските наредби во областа на борбата против дистрибуцијата на нелегална содржина и експлоатацијата на малолетни лица. За да се заобиколат ваквите проблеми, имплементиран е и тестиран систем за проверка што автоматски го оневозможува DoH под одредени услови.
За да се идентификуваат резолуторите на претпријатието, се проверуваат атипични домени од прво ниво (TLD) и системскиот резолутор враќа интранет адреси. За да се утврди дали се овозможени родителските контроли, се прави обид да се реши името exampleadultsite.com и доколку резултатот не се совпаѓа со вистинската IP адреса, се смета дека блокирањето на содржината за возрасни е активно на ниво на DNS. ИП-адресите на Google и YouTube исто така се проверуваат како знаци за да се види дали се заменети со limited.youtube.com, forceafesearch.google.com и limitedmoderate.youtube.com. Овие проверки им овозможуваат на напаѓачите кои ја контролираат работата на резолуторот или се способни да се мешаат во сообраќајот да симулираат такво однесување за да го оневозможат шифрирањето на сообраќајот DNS.
Работењето преку единствена услуга DoH, исто така, потенцијално може да доведе до проблеми со оптимизацијата на сообраќајот во мрежите за испорака на содржина што го балансираат сообраќајот користејќи DNS (DNS серверот на мрежата CDN генерира одговор земајќи ја предвид адресата на резолуцијата и обезбедува најблискиот домаќин да ја прима содржината). Испраќањето на барање за DNS од решавачот најблиску до корисникот во такви ЦДН резултира со враќање на адресата на домаќинот најблиску до корисникот, но испраќањето барање за DNS од централизиран разрешувач ќе ја врати адресата на домаќинот најблиску до серверот DNS-over-HTTPS . Тестирањето во пракса покажа дека употребата на DNS-over-HTTP при користење на CDN доведе до практично никакви одложувања пред почетокот на преносот на содржината (за брзи врски, одложувањата не надминуваа 10 милисекунди, а уште побрзи перформанси беа забележани на бавните комуникациски канали ). Употребата на наставката за подмрежа на клиентот EDNS, исто така, се сметаше за да обезбеди информации за локацијата на клиентот до резолуторот CDN.
Извор: opennet.ru