Pembangun Firefox mengenai penyelesaian ujian sokongan untuk DNS melalui HTTPS (DoH, DNS melalui HTTPS) dan niat untuk mendayakan teknologi ini secara lalai untuk pengguna AS pada akhir September. Pengaktifan akan dijalankan secara progresif, pada mulanya untuk beberapa peratus pengguna, dan jika tiada masalah, secara beransur-ansur meningkat kepada 100%. Sebaik sahaja AS dilindungi, DoH akan dipertimbangkan untuk dimasukkan ke negara lain.
Ujian yang dijalankan sepanjang tahun menunjukkan kebolehpercayaan dan prestasi perkhidmatan yang baik, dan juga membolehkan untuk mengenal pasti beberapa situasi di mana DoH boleh membawa kepada masalah dan membangunkan penyelesaian untuk memintas mereka (contohnya, dibongkar dengan pengoptimuman trafik dalam rangkaian penghantaran kandungan, kawalan ibu bapa dan zon DNS dalaman korporat).
Kepentingan menyulitkan trafik DNS dinilai sebagai faktor asas yang penting dalam melindungi pengguna, jadi ia telah memutuskan untuk mendayakan DoH secara lalai, tetapi pada peringkat pertama hanya untuk pengguna dari Amerika Syarikat. Selepas mengaktifkan DoH, pengguna akan menerima amaran yang akan membenarkan, jika dikehendaki, untuk menolak untuk menghubungi pelayan DNS DoH berpusat dan kembali kepada skim tradisional menghantar permintaan tidak disulitkan kepada pelayan DNS pembekal (bukannya infrastruktur yang diedarkan penyelesai DNS, DoH menggunakan pengikatan kepada perkhidmatan DoH tertentu , yang boleh dianggap sebagai satu titik kegagalan).
Jika DoH diaktifkan, sistem kawalan ibu bapa dan rangkaian korporat yang menggunakan struktur nama DNS rangkaian dalaman sahaja untuk menyelesaikan alamat intranet dan hos korporat mungkin terganggu. Untuk menyelesaikan masalah dengan sistem sedemikian, sistem semakan telah ditambah yang melumpuhkan DoH secara automatik. Pemeriksaan dilakukan setiap kali penyemak imbas dilancarkan atau apabila perubahan subnet dikesan.
Pulangan automatik untuk menggunakan penyelesai sistem pengendalian standard juga disediakan jika kegagalan berlaku semasa resolusi melalui DoH (contohnya, jika ketersediaan rangkaian dengan pembekal DoH terganggu atau kegagalan berlaku dalam infrastrukturnya). Maksud semakan sedemikian boleh dipersoalkan, kerana tiada siapa yang menghalang penyerang yang mengawal operasi penyelesai atau mampu mengganggu trafik daripada mensimulasikan tingkah laku serupa untuk melumpuhkan penyulitan trafik DNS. Masalah telah diselesaikan dengan menambahkan item "DoH always" pada tetapan (senyap tidak aktif), apabila ditetapkan, penutupan automatik tidak digunakan, yang merupakan kompromi yang munasabah.
Untuk mengenal pasti penyelesai perusahaan, domain peringkat pertama (TLD) atipikal disemak dan penyelesai sistem mengembalikan alamat intranet. Untuk menentukan sama ada kawalan ibu bapa didayakan, percubaan dibuat untuk menyelesaikan nama exampleadultsite.com dan jika hasilnya tidak sepadan dengan IP sebenar, penyekatan kandungan dewasa dianggap aktif pada peringkat DNS. Alamat IP Google dan YouTube juga disemak sebagai tanda untuk melihat sama ada ia telah digantikan oleh restrict.youtube.com, forcesafesearch.google.com dan restrictmoderate.youtube.com. Mozilla tambahan melaksanakan hos ujian tunggal , yang boleh digunakan oleh ISP dan perkhidmatan kawalan ibu bapa sebagai bendera untuk melumpuhkan DoH (jika hos tidak dikesan, Firefox melumpuhkan DoH).
Bekerja melalui satu perkhidmatan DoH juga berpotensi membawa kepada masalah dengan pengoptimuman trafik dalam rangkaian penghantaran kandungan yang mengimbangi trafik menggunakan DNS (pelayan DNS rangkaian CDN menjana respons dengan mengambil kira alamat penyelesai dan menyediakan hos yang paling hampir untuk menerima kandungan). Menghantar pertanyaan DNS daripada penyelesai yang paling hampir dengan pengguna dalam CDN sedemikian menyebabkan alamat hos yang paling dekat dengan pengguna akan dikembalikan, tetapi menghantar pertanyaan DNS daripada penyelesai berpusat akan mengembalikan alamat hos yang paling hampir dengan pelayan DNS-over-HTTPS . Ujian dalam amalan menunjukkan bahawa penggunaan DNS-over-HTTP apabila menggunakan CDN menyebabkan hampir tiada kelewatan sebelum permulaan pemindahan kandungan (untuk sambungan pantas, kelewatan tidak melebihi 10 milisaat, malah prestasi yang lebih pantas diperhatikan pada saluran komunikasi perlahan ). Penggunaan sambungan Subnet Pelanggan EDNS juga dianggap untuk memberikan maklumat lokasi klien kepada penyelesai CDN.
Mari kita ingat bahawa DoH boleh berguna untuk mencegah kebocoran maklumat mengenai nama hos yang diminta melalui pelayan DNS pembekal, memerangi serangan MITM dan memalsukan trafik DNS, mengatasi sekatan di peringkat DNS, atau untuk mengatur kerja sekiranya ia adalah mustahil untuk mengakses pelayan DNS secara langsung (contohnya, apabila bekerja melalui proksi). Jika dalam keadaan biasa permintaan DNS dihantar terus ke pelayan DNS yang ditakrifkan dalam konfigurasi sistem, maka dalam kes DoH, permintaan untuk menentukan alamat IP hos dirangkumkan dalam trafik HTTPS dan dihantar ke pelayan HTTP, di mana penyelesai memproses permintaan melalui API Web. Standard DNSSEC sedia ada menggunakan penyulitan hanya untuk mengesahkan klien dan pelayan, tetapi tidak melindungi trafik daripada pemintasan dan tidak menjamin kerahsiaan permintaan.
Untuk mendayakan DoH dalam about:config, anda mesti menukar nilai pembolehubah network.trr.mode, yang telah disokong sejak Firefox 60. Nilai 0 melumpuhkan DoH sepenuhnya; 1 - DNS atau DoH digunakan, yang mana lebih cepat; 2 - DoH digunakan secara lalai, dan DNS digunakan sebagai pilihan sandaran; 3 - hanya DoH digunakan; 4 - mod pencerminan di mana DoH dan DNS digunakan secara selari. Secara lalai, pelayan DNS CloudFlare digunakan, tetapi ia boleh ditukar melalui parameter network.trr.uri, sebagai contoh, anda boleh menetapkan “https://dns.google.com/experimental” atau “https://9.9.9.9 .XNUMX/dns-query "
Sumber: opennet.ru