Pembangun Firefox tentang mendayakan mod DNS melalui HTTPS (DoH, DNS melalui HTTPS) secara lalai untuk pengguna AS. Penyulitan trafik DNS dianggap sebagai faktor asas yang penting dalam melindungi pengguna. Mulai hari ini, semua pemasangan baharu oleh pengguna AS akan didayakan DoH secara lalai. Pengguna AS sedia ada dijadualkan bertukar ke DoH dalam masa beberapa minggu. Di Kesatuan Eropah dan negara lain, aktifkan DoH secara lalai buat masa ini .
Selepas mengaktifkan DoH, amaran dipaparkan kepada pengguna, yang membenarkan, jika mahu, enggan menghubungi pelayan DNS DoH berpusat dan kembali kepada skim tradisional menghantar pertanyaan tidak disulitkan ke pelayan DNS pembekal. Daripada infrastruktur pengedaran penyelesai DNS, DoH menggunakan pengikatan kepada perkhidmatan DoH tertentu, yang boleh dianggap sebagai satu titik kegagalan. Pada masa ini, kerja ditawarkan melalui dua pembekal DNS - CloudFlare (lalai) dan .
Tukar pembekal atau lumpuhkan DoH dalam tetapan sambungan rangkaian. Sebagai contoh, anda boleh menentukan pelayan DoH alternatif “https://dns.google/dns-query” untuk mengakses pelayan Google, “https://dns.quad9.net/dns-query” - Quad9 dan “https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config juga menyediakan tetapan network.trr.mode, yang melaluinya anda boleh menukar mod pengendalian DoH: nilai 0 melumpuhkan DoH sepenuhnya; 1 - DNS atau DoH digunakan, yang mana lebih cepat; 2 - DoH digunakan secara lalai, dan DNS digunakan sebagai pilihan sandaran; 3 - hanya DoH digunakan; 4 - mod pencerminan di mana DoH dan DNS digunakan secara selari.
Mari kita ingat bahawa DoH boleh berguna untuk mencegah kebocoran maklumat tentang nama hos yang diminta melalui pelayan DNS penyedia, memerangi serangan MITM dan penipuan trafik DNS (contohnya, apabila menyambung ke Wi-Fi awam), mengatasi sekatan di DNS tahap (DoH tidak boleh menggantikan VPN dalam bidang memintas menyekat yang dilaksanakan di peringkat DPI) atau untuk mengatur kerja jika mustahil untuk mengakses pelayan DNS secara langsung (contohnya, apabila bekerja melalui proksi). Jika dalam keadaan biasa permintaan DNS dihantar terus ke pelayan DNS yang ditakrifkan dalam konfigurasi sistem, maka dalam kes DoH, permintaan untuk menentukan alamat IP hos dirangkumkan dalam trafik HTTPS dan dihantar ke pelayan HTTP, di mana penyelesai memproses permintaan melalui API Web. Standard DNSSEC sedia ada menggunakan penyulitan hanya untuk mengesahkan klien dan pelayan, tetapi tidak melindungi trafik daripada pemintasan dan tidak menjamin kerahsiaan permintaan.
Untuk memilih penyedia DoH yang ditawarkan dalam Firefox, kepada penyelesai DNS yang boleh dipercayai, mengikut mana pengendali DNS boleh menggunakan data yang diterima untuk resolusi sahaja untuk memastikan operasi perkhidmatan, tidak boleh menyimpan log selama lebih daripada 24 jam, tidak boleh memindahkan data kepada pihak ketiga dan bertanggungjawab untuk mendedahkan maklumat tentang kaedah pemprosesan data. Perkhidmatan ini juga mesti bersetuju untuk tidak menapis, menapis, mengganggu atau menyekat trafik DNS, kecuali dalam situasi yang diperuntukkan oleh undang-undang.
DoH harus digunakan dengan berhati-hati. Sebagai contoh, di Persekutuan Rusia, alamat IP 104.16.248.249 dan 104.16.249.249 dikaitkan dengan pelayan DoH lalai mozilla.cloudflare-dns.com yang ditawarkan dalam Firefox, в atas permintaan mahkamah Stavropol bertarikh 10.06.2013 Jun XNUMX.
DoH juga boleh menyebabkan masalah dalam bidang seperti sistem kawalan ibu bapa, akses kepada ruang nama dalaman dalam sistem korporat, pemilihan laluan dalam sistem pengoptimuman penyampaian kandungan, dan pematuhan perintah mahkamah dalam bidang memerangi pengedaran kandungan haram dan eksploitasi bawah umur. Untuk mengelakkan masalah sedemikian, sistem semakan telah dilaksanakan dan diuji yang secara automatik melumpuhkan DoH dalam keadaan tertentu.
Untuk mengenal pasti penyelesai perusahaan, domain peringkat pertama (TLD) atipikal disemak dan penyelesai sistem mengembalikan alamat intranet. Untuk menentukan sama ada kawalan ibu bapa didayakan, percubaan dibuat untuk menyelesaikan nama exampleadultsite.com dan jika hasilnya tidak sepadan dengan IP sebenar, penyekatan kandungan dewasa dianggap aktif pada peringkat DNS. Alamat IP Google dan YouTube juga disemak sebagai tanda untuk melihat sama ada ia telah digantikan oleh restrict.youtube.com, forcesafesearch.google.com dan restrictmoderate.youtube.com. Pemeriksaan ini membenarkan penyerang yang mengawal operasi penyelesai atau mampu mengganggu lalu lintas untuk mensimulasikan tingkah laku sedemikian untuk melumpuhkan penyulitan trafik DNS.
Bekerja melalui satu perkhidmatan DoH juga berpotensi membawa kepada masalah dengan pengoptimuman trafik dalam rangkaian penghantaran kandungan yang mengimbangi trafik menggunakan DNS (pelayan DNS rangkaian CDN menjana respons dengan mengambil kira alamat penyelesai dan menyediakan hos yang paling hampir untuk menerima kandungan). Menghantar pertanyaan DNS daripada penyelesai yang paling hampir dengan pengguna dalam CDN sedemikian menyebabkan alamat hos yang paling dekat dengan pengguna akan dikembalikan, tetapi menghantar pertanyaan DNS daripada penyelesai berpusat akan mengembalikan alamat hos yang paling hampir dengan pelayan DNS-over-HTTPS . Ujian dalam amalan menunjukkan bahawa penggunaan DNS-over-HTTP apabila menggunakan CDN menyebabkan hampir tiada kelewatan sebelum permulaan pemindahan kandungan (untuk sambungan pantas, kelewatan tidak melebihi 10 milisaat, malah prestasi yang lebih pantas diperhatikan pada saluran komunikasi perlahan ). Penggunaan sambungan Subnet Pelanggan EDNS juga dianggap untuk memberikan maklumat lokasi klien kepada penyelesai CDN.
Sumber: opennet.ru