Firefox-ontwikkelaars
Na het activeren van DoH wordt aan de gebruiker een waarschuwing weergegeven, waarmee hij, indien gewenst, kan weigeren contact op te nemen met gecentraliseerde DoH DNS-servers en terug te keren naar het traditionele schema van het verzenden van niet-gecodeerde vragen naar de DNS-server van de provider. In plaats van een gedistribueerde infrastructuur van DNS-resolvers maakt DoH gebruik van een binding met een specifieke DoH-service, die kan worden beschouwd als een single point of fail. Momenteel wordt werk aangeboden via twee DNS-providers: CloudFlare (standaard) en
Verander van provider of schakel DoH uit
Laten we niet vergeten dat DoH nuttig kan zijn voor het voorkomen van het lekken van informatie over de opgevraagde hostnamen via de DNS-servers van providers, het tegengaan van MITM-aanvallen en spoofing van DNS-verkeer (bijvoorbeeld bij verbinding met openbare Wi-Fi), het tegengaan van blokkering bij de DNS niveau (DoH kan een VPN niet vervangen op het gebied van het omzeilen van blokkeringen geïmplementeerd op DPI-niveau) of voor het organiseren van werk als het onmogelijk is om rechtstreeks toegang te krijgen tot DNS-servers (bijvoorbeeld bij het werken via een proxy). Als in een normale situatie DNS-verzoeken rechtstreeks naar de DNS-servers worden verzonden die in de systeemconfiguratie zijn gedefinieerd, wordt in het geval van DoH het verzoek om het IP-adres van de host te bepalen ingekapseld in HTTPS-verkeer en naar de HTTP-server gestuurd, waar de oplosser de processen verwerkt. aanvragen via de Web API. De bestaande DNSSEC-standaard gebruikt alleen encryptie om de client en server te authenticeren, maar beschermt het verkeer niet tegen onderschepping en garandeert niet de vertrouwelijkheid van verzoeken.
Om de DoH-providers te selecteren die in Firefox worden aangeboden,
DoH moet met voorzichtigheid worden gebruikt. In de Russische Federatie zijn de IP-adressen 104.16.248.249 en 104.16.249.249 bijvoorbeeld geassocieerd met de standaard DoH-server mozilla.cloudflare-dns.com die wordt aangeboden in Firefox,
DoH kan ook problemen veroorzaken op gebieden als systemen voor ouderlijk toezicht, toegang tot interne naamruimten in bedrijfssystemen, routeselectie in systemen voor optimalisatie van de levering van inhoud en de naleving van rechterlijke bevelen op het gebied van de bestrijding van de verspreiding van illegale inhoud en de exploitatie van minderjarigen. Om dergelijke problemen te omzeilen is een controlesysteem geïmplementeerd en getest dat DoH onder bepaalde omstandigheden automatisch uitschakelt.
Om bedrijfsresolvers te identificeren, worden atypische eerstelijnsdomeinen (TLD's) gecontroleerd en retourneert de systeemresolver intranetadressen. Om te bepalen of ouderlijk toezicht is ingeschakeld, wordt geprobeerd de naam exampleadultsite.com om te zetten. Als het resultaat niet overeenkomt met het werkelijke IP-adres, wordt aangenomen dat het blokkeren van inhoud voor volwassenen actief is op DNS-niveau. Google- en YouTube-IP-adressen worden ook als tekens gecontroleerd om te zien of ze zijn vervangen door restrict.youtube.com, forcesafesearch.google.com en restrictmoderate.youtube.com. Met deze controles kunnen aanvallers die de werking van de solver controleren of het verkeer kunnen verstoren, dergelijk gedrag simuleren en de versleuteling van DNS-verkeer uitschakelen.
Het werken via een enkele DoH-service kan mogelijk ook leiden tot problemen met verkeersoptimalisatie in netwerken voor inhoudslevering die het verkeer verdelen met behulp van DNS (de DNS-server van het CDN-netwerk genereert een reactie waarbij rekening wordt gehouden met het resolveradres en biedt de dichtstbijzijnde host om de inhoud te ontvangen). Het verzenden van een DNS-query vanaf de oplosser die zich het dichtst bij de gebruiker bevindt in dergelijke CDN's resulteert in het retourneren van het adres van de host die het dichtst bij de gebruiker ligt, maar het verzenden van een DNS-query vanaf een gecentraliseerde oplosser retourneert het hostadres dat zich het dichtst bij de DNS-over-HTTPS-server bevindt . Uit tests in de praktijk bleek dat het gebruik van DNS-over-HTTP bij gebruik van een CDN vrijwel geen vertraging opleverde vóór de start van de inhoudsoverdracht (voor snelle verbindingen bedroegen de vertragingen niet meer dan 10 milliseconden en werden zelfs snellere prestaties waargenomen op langzame communicatiekanalen ). Er werd ook overwogen om de EDNS Client Subnet-extensie te gebruiken om informatie over de clientlocatie aan de CDN-resolver te verstrekken.
Bron: opennet.ru