Firefox-ontwikkelaars over het standaard inschakelen van de DNS over HTTPS-modus (DoH, DNS over HTTPS) voor Amerikaanse gebruikers. Versleuteling van DNS-verkeer wordt beschouwd als een fundamenteel belangrijke factor bij de bescherming van gebruikers. Vanaf vandaag is bij alle nieuwe installaties van Amerikaanse gebruikers DoH standaard ingeschakeld. Bestaande Amerikaanse gebruikers zullen naar verwachting binnen enkele weken overstappen naar DoH. In de Europese Unie en andere landen activeert u DoH voorlopig standaard .
Na het activeren van DoH wordt aan de gebruiker een waarschuwing weergegeven, waarmee hij, indien gewenst, kan weigeren contact op te nemen met gecentraliseerde DoH DNS-servers en terug te keren naar het traditionele schema van het verzenden van niet-gecodeerde vragen naar de DNS-server van de provider. In plaats van een gedistribueerde infrastructuur van DNS-resolvers maakt DoH gebruik van een binding met een specifieke DoH-service, die kan worden beschouwd als een single point of fail. Momenteel wordt werk aangeboden via twee DNS-providers: CloudFlare (standaard) en .
Verander van provider of schakel DoH uit in de netwerkverbindingsinstellingen. U kunt bijvoorbeeld een alternatieve DoH-server “https://dns.google/dns-query” opgeven voor toegang tot de Google-servers, “https://dns.quad9.net/dns-query” - Quad9 en “https:// /doh.opendns.com/dns-query" - OpenDNS. About:config biedt ook de network.trr.mode-instelling, waarmee u de DoH-bedrijfsmodus kunt wijzigen: een waarde van 0 schakelt DoH volledig uit; 1 - Er wordt gebruik gemaakt van DNS of DoH, afhankelijk van welke sneller is; 2 - DoH wordt standaard gebruikt en DNS wordt gebruikt als reserveoptie; 3 - er wordt alleen DoH gebruikt; 4 - spiegelmodus waarin DoH en DNS parallel worden gebruikt.
Laten we niet vergeten dat DoH nuttig kan zijn voor het voorkomen van het lekken van informatie over de opgevraagde hostnamen via de DNS-servers van providers, het tegengaan van MITM-aanvallen en spoofing van DNS-verkeer (bijvoorbeeld bij verbinding met openbare Wi-Fi), het tegengaan van blokkering bij de DNS niveau (DoH kan een VPN niet vervangen op het gebied van het omzeilen van blokkeringen geïmplementeerd op DPI-niveau) of voor het organiseren van werk als het onmogelijk is om rechtstreeks toegang te krijgen tot DNS-servers (bijvoorbeeld bij het werken via een proxy). Als in een normale situatie DNS-verzoeken rechtstreeks naar de DNS-servers worden verzonden die in de systeemconfiguratie zijn gedefinieerd, wordt in het geval van DoH het verzoek om het IP-adres van de host te bepalen ingekapseld in HTTPS-verkeer en naar de HTTP-server gestuurd, waar de oplosser de processen verwerkt. aanvragen via de Web API. De bestaande DNSSEC-standaard gebruikt alleen encryptie om de client en server te authenticeren, maar beschermt het verkeer niet tegen onderschepping en garandeert niet de vertrouwelijkheid van verzoeken.
Om de DoH-providers te selecteren die in Firefox worden aangeboden, aan betrouwbare DNS-resolvers, volgens welke de DNS-operator de ontvangen gegevens alleen voor resolutie kan gebruiken om de werking van de dienst te garanderen, logs niet langer dan 24 uur mag bewaren, geen gegevens aan derden mag overdragen en verplicht is informatie over methoden voor gegevensverwerking. De dienst moet er ook mee instemmen het DNS-verkeer niet te censureren, filteren, verstoren of blokkeren, behalve in situaties waarin de wet voorziet.
DoH moet met voorzichtigheid worden gebruikt. In de Russische Federatie zijn de IP-adressen 104.16.248.249 en 104.16.249.249 bijvoorbeeld geassocieerd met de standaard DoH-server mozilla.cloudflare-dns.com die wordt aangeboden in Firefox, в op verzoek van de rechtbank van Stavropol van 10.06.2013 juni XNUMX.
DoH kan ook problemen veroorzaken op gebieden als systemen voor ouderlijk toezicht, toegang tot interne naamruimten in bedrijfssystemen, routeselectie in systemen voor optimalisatie van de levering van inhoud en de naleving van rechterlijke bevelen op het gebied van de bestrijding van de verspreiding van illegale inhoud en de exploitatie van minderjarigen. Om dergelijke problemen te omzeilen is een controlesysteem geïmplementeerd en getest dat DoH onder bepaalde omstandigheden automatisch uitschakelt.
Om bedrijfsresolvers te identificeren, worden atypische eerstelijnsdomeinen (TLD's) gecontroleerd en retourneert de systeemresolver intranetadressen. Om te bepalen of ouderlijk toezicht is ingeschakeld, wordt geprobeerd de naam exampleadultsite.com om te zetten. Als het resultaat niet overeenkomt met het werkelijke IP-adres, wordt aangenomen dat het blokkeren van inhoud voor volwassenen actief is op DNS-niveau. Google- en YouTube-IP-adressen worden ook als tekens gecontroleerd om te zien of ze zijn vervangen door restrict.youtube.com, forcesafesearch.google.com en restrictmoderate.youtube.com. Met deze controles kunnen aanvallers die de werking van de solver controleren of het verkeer kunnen verstoren, dergelijk gedrag simuleren en de versleuteling van DNS-verkeer uitschakelen.
Het werken via een enkele DoH-service kan mogelijk ook leiden tot problemen met verkeersoptimalisatie in netwerken voor inhoudslevering die het verkeer verdelen met behulp van DNS (de DNS-server van het CDN-netwerk genereert een reactie waarbij rekening wordt gehouden met het resolveradres en biedt de dichtstbijzijnde host om de inhoud te ontvangen). Het verzenden van een DNS-query vanaf de oplosser die zich het dichtst bij de gebruiker bevindt in dergelijke CDN's resulteert in het retourneren van het adres van de host die het dichtst bij de gebruiker ligt, maar het verzenden van een DNS-query vanaf een gecentraliseerde oplosser retourneert het hostadres dat zich het dichtst bij de DNS-over-HTTPS-server bevindt . Uit tests in de praktijk bleek dat het gebruik van DNS-over-HTTP bij gebruik van een CDN vrijwel geen vertraging opleverde vóór de start van de inhoudsoverdracht (voor snelle verbindingen bedroegen de vertragingen niet meer dan 10 milliseconden en werden zelfs snellere prestaties waargenomen op langzame communicatiekanalen ). Er werd ook overwogen om de EDNS Client Subnet-extensie te gebruiken om informatie over de clientlocatie aan de CDN-resolver te verstrekken.
Bron: opennet.ru