Програмери на Firefox
По активирањето на DoH, се прикажува предупредување до корисникот, кое овозможува, доколку сака, да одбие да контактира со централизираните DNS сервери на DoH и да се врати на традиционалната шема за испраќање нешифрирани прашања до DNS-серверот на давателот. Наместо дистрибуирана инфраструктура на резолутори на DNS, DoH користи врзување за одредена услуга DoH, што може да се смета за единствена точка на неуспех. Во моментов, работата се нуди преку два провајдери на DNS - CloudFlare (стандардно) и
Променете го провајдерот или оневозможете DoH
Потсетете се дека DoH може да биде корисно за спречување на протекување информации за бараните имиња на домаќините преку DNS серверите на провајдерите, борба против нападите MITM и измама на сообраќајот DNS (на пример, при поврзување на јавен Wi-Fi), спречување блокирање на ниво DNS (DoH не може да го замени VPN во областа на заобиколување на блокирање имплементирано на ниво на DPI) или за организирање работа во случај да е невозможно директно да се пристапи до серверите DNS (на пример, кога работите преку прокси). Додека во нормална ситуација барањата за DNS директно се испраќаат до серверите DNS дефинирани во системската конфигурација, во случајот со DoH, барањето за одредување на IP адресата на домаќинот е инкапсулирано во сообраќајот HTTPS и се испраќа до серверот HTTP, на кој решавачот обработува барања преку Web API. Тековниот стандард DNSSEC користи шифрирање само за автентикација на клиентот и серверот, но не го штити сообраќајот од пресретнување и не гарантира доверливост на барањата.
За да ги изберете добавувачите на DoH понудени во Firefox,
DoH треба да се користи со претпазливост. На пример, во Руската Федерација, IP адресите 104.16.248.249 и 104.16.249.249 поврзани со стандардниот DoH сервер mozilla.cloudflare-dns.com понуден во Firefox,
DoH, исто така, може да предизвика проблеми во областите како што се системите за родителска контрола, пристапот до внатрешните именски простори во корпоративните системи, изборот на маршрути во системите за оптимизација на испорака на содржина и усогласеноста со судските наредби во областа на борбата против дистрибуцијата на нелегална содржина и експлоатацијата на малолетни лица. За да се заобиколат ваквите проблеми, имплементиран е и тестиран систем за проверка што автоматски го оневозможува DoH под одредени услови.
За да се идентификуваат резолуторите на претпријатието, се проверуваат атипични домени од прво ниво (TLD) и системскиот резолутор враќа интранет адреси. За да се утврди дали се овозможени родителските контроли, се прави обид да се реши името exampleadultsite.com и доколку резултатот не се совпаѓа со вистинската IP адреса, се смета дека блокирањето на содржината за возрасни е активно на ниво на DNS. ИП-адресите на Google и YouTube исто така се проверуваат како знаци за да се види дали се заменети со limited.youtube.com, forceafesearch.google.com и limitedmoderate.youtube.com. Овие проверки им овозможуваат на напаѓачите кои ја контролираат работата на резолуторот или се способни да се мешаат во сообраќајот да симулираат такво однесување за да го оневозможат шифрирањето на сообраќајот DNS.
Работењето преку единствена услуга DoH, исто така, потенцијално може да доведе до проблеми со оптимизацијата на сообраќајот во мрежите за испорака на содржина што го балансираат сообраќајот користејќи DNS (DNS серверот на мрежата CDN генерира одговор земајќи ја предвид адресата на резолуцијата и обезбедува најблискиот домаќин да ја прима содржината). Испраќањето на барање за DNS од решавачот најблиску до корисникот во такви ЦДН резултира со враќање на адресата на домаќинот најблиску до корисникот, но испраќањето барање за DNS од централизиран разрешувач ќе ја врати адресата на домаќинот најблиску до серверот DNS-over-HTTPS . Тестирањето во пракса покажа дека употребата на DNS-over-HTTP при користење на CDN доведе до практично никакви одложувања пред почетокот на преносот на содржината (за брзи врски, одложувањата не надминуваа 10 милисекунди, а уште побрзи перформанси беа забележани на бавните комуникациски канали ). Употребата на наставката за подмрежа на клиентот EDNS, исто така, се сметаше за да обезбеди информации за локацијата на клиентот до резолуторот CDN.
Извор: opennet.ru