Програмери на Firefox за завршувањето на тестирањето на поддршката за DNS преку HTTPS (DoH, DNS преку HTTPS) и намерата стандардно да се овозможи оваа технологија за американските корисници на крајот на септември. Активирањето ќе се врши прогресивно, првично за неколку проценти од корисниците, а доколку нема проблеми, постепено ќе се зголемува до 100%. Откако САД ќе бидат покриени, DoH ќе се разгледува за вклучување во други земји.
Тестовите извршени во текот на целата година ја покажаа веродостојноста и добрите перформанси на услугата, а исто така овозможија да се идентификуваат некои ситуации каде што DoH може да доведе до проблеми и да развијат решенија за нивно заобиколување (на пример, расклопени со оптимизација на сообраќајот во мрежите за испорака на содржина, родителски контроли и корпоративни внатрешни DNS зони).
Важноста на шифрирањето на сообраќајот DNS се оценува како фундаментално важен фактор за заштита на корисниците, па затоа беше одлучено стандардно да се овозможи DoH, но во првата фаза само за корисниците од САД. По активирањето на DoH, корисникот ќе добие предупредување што ќе овозможи, доколку сака, да одбие да контактира со централизирани DNS сервери на DoH и да се врати на традиционалната шема за испраќање нешифрирани барања до DNS серверот на давателот (наместо дистрибуирана инфраструктура на резолутори на DNS, DoH користи врзување за одредена услуга DoH, што може да се смета за единствена точка на неуспех).
Ако се активира DoH, може да се нарушат системите за родителска контрола и корпоративните мрежи кои ја користат структурата на имиња на DNS само за внатрешна мрежа за да ги разрешат интранет адресите и корпоративните хостови. За да се решат проблемите со таквите системи, додаден е систем на проверки што автоматски го оневозможува DoH. Проверките се вршат секогаш кога ќе се стартува прелистувачот или кога ќе се открие промена на подмрежата.
Обезбедено е и автоматско враќање на користењето на стандардниот разрешувач на оперативниот систем ако се појават неуспеси за време на резолуцијата преку DoH (на пример, ако достапноста на мрежата со давателот на DoH е нарушена или се појават неуспеси во неговата инфраструктура). Значењето на таквите проверки е сомнително, бидејќи никој не ги спречува напаѓачите кои ја контролираат работата на резолуторот или се способни да се мешаат во сообраќајот да симулираат слично однесување за да го оневозможат шифрирањето на сообраќајот DNS. Проблемот беше решен со додавање на ставката „DoH секогаш“ во поставките (тивко неактивна), кога е поставено, автоматското исклучување не се применува, што е разумен компромис.
За да се идентификуваат резолуторите на претпријатието, се проверуваат атипични домени од прво ниво (TLD) и системскиот резолутор враќа интранет адреси. За да се утврди дали се овозможени родителските контроли, се прави обид да се реши името exampleadultsite.com и доколку резултатот не се совпаѓа со вистинската IP адреса, се смета дека блокирањето на содржината за возрасни е активно на ниво на DNS. ИП-адресите на Google и YouTube исто така се проверуваат како знаци за да се види дали се заменети со limited.youtube.com, forceafesearch.google.com и limitedmoderate.youtube.com. Дополнителна Mozilla имплементирајте еден тест домаќин , што интернет провајдерите и услугите за родителска контрола може да го користат како знаменце за да го оневозможат DoH (ако домаќинот не е откриен, Firefox го оневозможува DoH).
Работењето преку единствена услуга DoH, исто така, потенцијално може да доведе до проблеми со оптимизацијата на сообраќајот во мрежите за испорака на содржина што го балансираат сообраќајот користејќи DNS (DNS серверот на мрежата CDN генерира одговор земајќи ја предвид адресата на резолуцијата и обезбедува најблискиот домаќин да ја прима содржината). Испраќањето на барање за DNS од решавачот најблиску до корисникот во такви ЦДН резултира со враќање на адресата на домаќинот најблиску до корисникот, но испраќањето барање за DNS од централизиран разрешувач ќе ја врати адресата на домаќинот најблиску до серверот DNS-over-HTTPS . Тестирањето во пракса покажа дека употребата на DNS-over-HTTP при користење на CDN доведе до практично никакви одложувања пред почетокот на преносот на содржината (за брзи врски, одложувањата не надминуваа 10 милисекунди, а уште побрзи перформанси беа забележани на бавните комуникациски канали ). Употребата на наставката за подмрежа на клиентот EDNS, исто така, се сметаше за да обезбеди информации за локацијата на клиентот до резолуторот CDN.
Да потсетиме дека DoH може да биде корисно за спречување на протекување информации за бараните имиња на домаќините преку DNS серверите на провајдерите, борба против нападите на MITM и измама на сообраќајот DNS, спречување на блокирање на ниво на DNS или за организирање работа во случај да невозможно е директно да се пристапи до серверите DNS (на пример, кога се работи преку прокси). Ако во нормална ситуација барањата за DNS директно се испраќаат до серверите DNS дефинирани во системската конфигурација, тогаш во случајот на DoH, барањето за одредување на IP адресата на домаќинот е инкапсулирано во сообраќајот HTTPS и се испраќа до серверот HTTP, каде што решавачот обработува барања преку Web API. Постојниот стандард DNSSEC користи шифрирање само за автентикација на клиентот и серверот, но не го штити сообраќајот од пресретнување и не гарантира доверливост на барањата.
За да овозможите DoH во about:config, мора да ја промените вредноста на променливата network.trr.mode, која е поддржана од Firefox 60. Вредноста 0 целосно го оневозможува DoH; 1 - се користи DNS или DoH, кое и да е побрзо; 2 - DoH се користи стандардно, а DNS се користи како резервна опција; 3 - се користи само DoH; 4 - режим на пресликување во кој DoH и DNS се користат паралелно. Стандардно, се користи серверот CloudFlare DNS, но може да се промени преку параметарот network.trr.uri, на пример, можете да поставите „https://dns.google.com/experimental“ или „https://9.9.9.9 .XNUMX/dns-query "
Извор: opennet.ru