Iżviluppaturi Firefox dwar it-tlestija tal-appoġġ tal-ittestjar għad-DNS fuq HTTPS (DoH, DNS fuq HTTPS) u l-intenzjoni li din it-teknoloġija tkun attivata awtomatikament għall-utenti tal-Istati Uniti fl-aħħar ta 'Settembru. L-attivazzjoni se titwettaq progressivament, inizjalment għal ftit fil-mija tal-utenti, u jekk ma jkunx hemm problemi, tiżdied gradwalment għal 100%. Ladarba l-Istati Uniti tkun koperta, id-DoH se jiġi kkunsidrat għall-inklużjoni f'pajjiżi oħra.
It-testijiet li saru matul is-sena wrew l-affidabbiltà u l-prestazzjoni tajba tas-servizz, u għamlu wkoll possibbli li jiġu identifikati xi sitwazzjonijiet fejn id-DoH jista’ jwassal għal problemi u jiġu żviluppati soluzzjonijiet biex jiġu evitati (pereżempju, żarmati bl-ottimizzazzjoni tat-traffiku fin-netwerks tal-kunsinna tal-kontenut, kontrolli tal-ġenituri u żoni DNS interni korporattivi).
L-importanza tal-kriptaġġ tat-traffiku tad-DNS hija evalwata bħala fattur fundamentalment importanti fil-protezzjoni tal-utenti, għalhekk ġie deċiż li d-DoH jiġi attivat awtomatikament, iżda fl-ewwel stadju biss għall-utenti mill-Istati Uniti. Wara li jattiva d-DoH, l-utent se jirċievi twissija li tippermetti, jekk mixtieq, li jirrifjuta li jikkuntattja servers ċentralizzati tad-DNS DoH u jirritorna għall-iskema tradizzjonali li jintbagħtu talbiet mhux kriptati lis-server DNS tal-fornitur (minflok infrastruttura distribwita ta 'solventi DNS, Id-DoH juża rabta ma' servizz speċifiku tad-DoH, li jista' jitqies bħala punt wieħed ta' falliment).
Jekk id-DoH jiġi attivat, is-sistemi ta' kontroll tal-ġenituri u n-netwerks korporattivi li jużaw l-istruttura tal-ismijiet DNS tan-netwerk intern biss biex isolvu l-indirizzi tal-intranet u l-hosts korporattivi jistgħu jiġu mfixkla. Biex issolvi problemi b'sistemi bħal dawn, ġiet miżjuda sistema ta 'kontrolli li awtomatikament tiddiżattiva DoH. Il-kontrolli jsiru kull darba li jitnieda l-browser jew meta tinstab bidla fis-subnet.
Ritorn awtomatiku għall-użu tar-risolvent tas-sistema operattiva standard huwa pprovdut ukoll jekk iseħħu fallimenti waqt ir-riżoluzzjoni permezz tad-DoH (pereżempju, jekk id-disponibbiltà tan-netwerk mal-fornitur tad-DoH tiġi mfixkla jew iseħħu fallimenti fl-infrastruttura tiegħu). It-tifsira ta 'kontrolli bħal dawn hija dubjuża, peress li ħadd ma jipprevjeni lill-attakkanti li jikkontrollaw l-operat tar-risolvent jew li huma kapaċi jinterferixxu mat-traffiku milli jissimulaw imġieba simili biex jiskonnettja l-encryption tat-traffiku DNS. Il-problema ġiet solvuta billi żżid l-oġġett "DoH dejjem" mas-settings (skiet inattiv), meta ssettjat, għeluq awtomatiku ma jiġix applikat, li huwa kompromess raġonevoli.
Biex jiġu identifikati s-solventi ta' l-intrapriżi, dominji atipiċi ta' l-ewwel livell (TLDs) huma ċċekkjati u s-sistema ta' resolver jirritorna l-indirizzi ta' l-intranet. Biex jiġi ddeterminat jekk il-kontrolli tal-ġenituri humiex attivati, isir tentattiv biex jiġi solvut l-isem exampleadultsite.com u jekk ir-riżultat ma jaqbilx mal-IP attwali, jitqies li l-imblukkar tal-kontenut għall-adulti huwa attiv fil-livell DNS. L-indirizzi IP ta' Google u YouTube huma wkoll iċċekkjati bħala sinjali biex tara jekk ġewx sostitwiti minn restrict.youtube.com, forcesafesearch.google.com u restrictmoderate.youtube.com. Mozilla addizzjonali timplimenta ospitanti tat-test wieħed , li l-ISPs u s-servizzi tal-kontroll tal-ġenituri jistgħu jużaw bħala bandiera biex jiskonnettjaw id-DoH (jekk il-host ma jiġix skopert, Firefox jiddiżattiva DoH).
Ħidma permezz ta' servizz DoH wieħed jista' potenzjalment iwassal ukoll għal problemi bl-ottimizzazzjoni tat-traffiku fin-netwerks tal-konsenja tal-kontenut li jibbilanċjaw it-traffiku bl-użu tad-DNS (is-server DNS tan-netwerk CDN jiġġenera rispons b'kont meħud tal-indirizz tas-solvent u jipprovdi l-eqreb host biex jirċievi l-kontenut). Li tibgħat mistoqsija DNS mir-risolvent l-eqreb għall-utent f'dawn is-CDNs tirriżulta fir-ritorn tal-indirizz tal-host l-eqreb tal-utent, iżda li tibgħat mistoqsija DNS minn resolver ċentralizzat ser jirritorna l-indirizz tal-host l-eqreb tas-server DNS-over-HTTPS. . L-ittestjar fil-prattika wera li l-użu ta’ DNS-over-HTTP meta jintuża CDN ma wassal għal prattikament l-ebda dewmien qabel il-bidu tat-trasferiment tal-kontenut (għal konnessjonijiet veloċi, id-dewmien ma jaqbiżx l-10 millisekondi, u prestazzjoni saħansitra aktar mgħaġġla kienet osservata fuq kanali ta’ komunikazzjoni bil-mod ). L-użu tal-estensjoni tas-Subnet tal-Klijent tal-EDNS tqies ukoll biex jipprovdi informazzjoni dwar il-post tal-klijent lis-solvent tas-CDN.
Ejja nfakkru li d-DoH jista’ jkun utli għall-prevenzjoni ta’ tnixxijiet ta’ informazzjoni dwar l-ismijiet tal-host mitluba permezz tas-servers DNS tal-fornituri, il-ġlieda kontra l-attakki tal-MITM u l-ispoofing tat-traffiku tad-DNS, il-ġlieda kontra l-imblukkar fil-livell tad-DNS, jew għall-organizzazzjoni tax-xogħol fil-każ li dan. huwa impossibbli li taċċessa direttament servers DNS (pereżempju, meta taħdem permezz ta' prokura). Jekk f'sitwazzjoni normali talbiet DNS jintbagħtu direttament lil servers DNS definiti fil-konfigurazzjoni tas-sistema, allura fil-każ ta 'DoH, it-talba biex jiġi ddeterminat l-indirizz IP tal-host hija inkapsulata fit-traffiku HTTPS u mibgħuta lis-server HTTP, fejn is-solvent jipproċessa talbiet permezz tal-Web API. L-istandard DNSSEC eżistenti juża l-kriptaġġ biss biex jawtentika l-klijent u s-server, iżda ma jipproteġix it-traffiku mill-interċettazzjoni u ma jiggarantixxix il-kunfidenzjalità tat-talbiet.
Biex tippermetti DoH f'about:config, trid tibdel il-valur tal-varjabbli network.trr.mode, li ilha appoġġjata minn Firefox 60. Valur ta' 0 jiddiżattiva kompletament id-DoH; 1 - Jintuża DNS jew DoH, liema minnhom ikun l-aktar mgħaġġel; 2 - DoH jintuża awtomatikament, u d-DNS jintuża bħala għażla ta' riżerva; 3 - DoH biss jintuża; 4 - mod ta' riflessjoni li fih jintużaw id-DoH u d-DNS b'mod parallel. B'mod awtomatiku, jintuża s-server DNS CloudFlare, iżda jista' jinbidel permezz tal-parametru network.trr.uri, pereżempju, tista' tissettja "https://dns.google.com/experimental" jew "https://9.9.9.9". .XNUMX/dns-query "
Sors: opennet.ru