Pembangun Firefox
Selepas mengaktifkan DoH, amaran dipaparkan kepada pengguna, yang membenarkan, jika mahu, enggan menghubungi pelayan DNS DoH berpusat dan kembali kepada skim tradisional menghantar pertanyaan tidak disulitkan ke pelayan DNS pembekal. Daripada infrastruktur pengedaran penyelesai DNS, DoH menggunakan pengikatan kepada perkhidmatan DoH tertentu, yang boleh dianggap sebagai satu titik kegagalan. Pada masa ini, kerja ditawarkan melalui dua pembekal DNS - CloudFlare (lalai) dan
Tukar pembekal atau lumpuhkan DoH
Mari kita ingat bahawa DoH boleh berguna untuk mencegah kebocoran maklumat tentang nama hos yang diminta melalui pelayan DNS penyedia, memerangi serangan MITM dan penipuan trafik DNS (contohnya, apabila menyambung ke Wi-Fi awam), mengatasi sekatan di DNS tahap (DoH tidak boleh menggantikan VPN dalam bidang memintas menyekat yang dilaksanakan di peringkat DPI) atau untuk mengatur kerja jika mustahil untuk mengakses pelayan DNS secara langsung (contohnya, apabila bekerja melalui proksi). Jika dalam keadaan biasa permintaan DNS dihantar terus ke pelayan DNS yang ditakrifkan dalam konfigurasi sistem, maka dalam kes DoH, permintaan untuk menentukan alamat IP hos dirangkumkan dalam trafik HTTPS dan dihantar ke pelayan HTTP, di mana penyelesai memproses permintaan melalui API Web. Standard DNSSEC sedia ada menggunakan penyulitan hanya untuk mengesahkan klien dan pelayan, tetapi tidak melindungi trafik daripada pemintasan dan tidak menjamin kerahsiaan permintaan.
Untuk memilih penyedia DoH yang ditawarkan dalam Firefox,
DoH harus digunakan dengan berhati-hati. Sebagai contoh, di Persekutuan Rusia, alamat IP 104.16.248.249 dan 104.16.249.249 dikaitkan dengan pelayan DoH lalai mozilla.cloudflare-dns.com yang ditawarkan dalam Firefox,
DoH juga boleh menyebabkan masalah dalam bidang seperti sistem kawalan ibu bapa, akses kepada ruang nama dalaman dalam sistem korporat, pemilihan laluan dalam sistem pengoptimuman penyampaian kandungan, dan pematuhan perintah mahkamah dalam bidang memerangi pengedaran kandungan haram dan eksploitasi bawah umur. Untuk mengelakkan masalah sedemikian, sistem semakan telah dilaksanakan dan diuji yang secara automatik melumpuhkan DoH dalam keadaan tertentu.
Untuk mengenal pasti penyelesai perusahaan, domain peringkat pertama (TLD) atipikal disemak dan penyelesai sistem mengembalikan alamat intranet. Untuk menentukan sama ada kawalan ibu bapa didayakan, percubaan dibuat untuk menyelesaikan nama exampleadultsite.com dan jika hasilnya tidak sepadan dengan IP sebenar, penyekatan kandungan dewasa dianggap aktif pada peringkat DNS. Alamat IP Google dan YouTube juga disemak sebagai tanda untuk melihat sama ada ia telah digantikan oleh restrict.youtube.com, forcesafesearch.google.com dan restrictmoderate.youtube.com. Pemeriksaan ini membenarkan penyerang yang mengawal operasi penyelesai atau mampu mengganggu lalu lintas untuk mensimulasikan tingkah laku sedemikian untuk melumpuhkan penyulitan trafik DNS.
Bekerja melalui satu perkhidmatan DoH juga berpotensi membawa kepada masalah dengan pengoptimuman trafik dalam rangkaian penghantaran kandungan yang mengimbangi trafik menggunakan DNS (pelayan DNS rangkaian CDN menjana respons dengan mengambil kira alamat penyelesai dan menyediakan hos yang paling hampir untuk menerima kandungan). Menghantar pertanyaan DNS daripada penyelesai yang paling hampir dengan pengguna dalam CDN sedemikian menyebabkan alamat hos yang paling dekat dengan pengguna akan dikembalikan, tetapi menghantar pertanyaan DNS daripada penyelesai berpusat akan mengembalikan alamat hos yang paling hampir dengan pelayan DNS-over-HTTPS . Ujian dalam amalan menunjukkan bahawa penggunaan DNS-over-HTTP apabila menggunakan CDN menyebabkan hampir tiada kelewatan sebelum permulaan pemindahan kandungan (untuk sambungan pantas, kelewatan tidak melebihi 10 milisaat, malah prestasi yang lebih pantas diperhatikan pada saluran komunikasi perlahan ). Penggunaan sambungan Subnet Pelanggan EDNS juga dianggap untuk memberikan maklumat lokasi klien kepada penyelesai CDN.
Sumber: opennet.ru