Firefox-ontwikkelaars over de voltooiing van het testen van ondersteuning voor DNS over HTTPS (DoH, DNS over HTTPS) en het voornemen om deze technologie eind september standaard in te schakelen voor Amerikaanse gebruikers. De activering zal geleidelijk worden uitgevoerd, in eerste instantie voor een paar procent van de gebruikers, en als er geen problemen zijn, geleidelijk oplopend tot 100%. Zodra de VS gedekt zijn, zal DoH in aanmerking komen voor opname in andere landen.
Tests die het hele jaar door zijn uitgevoerd, hebben de betrouwbaarheid en goede prestaties van de dienst aangetoond, en hebben het ook mogelijk gemaakt om enkele situaties te identificeren waarin DoH tot problemen kan leiden en oplossingen te ontwikkelen om deze te omzeilen (bijvoorbeeld gedemonteerde met verkeersoptimalisatie in netwerken voor inhoudslevering, ouderlijk toezicht en interne DNS-zones van het bedrijf).
Het belang van het versleutelen van DNS-verkeer wordt gezien als een fundamenteel belangrijke factor bij het beschermen van gebruikers. Daarom werd besloten om DoH standaard in te schakelen, maar in eerste instantie alleen voor gebruikers uit de Verenigde Staten. Na het activeren van DoH ontvangt de gebruiker een waarschuwing waarmee hij, indien gewenst, kan weigeren contact op te nemen met gecentraliseerde DoH DNS-servers en terug te keren naar het traditionele schema van het verzenden van niet-gecodeerde verzoeken naar de DNS-server van de provider (in plaats van een gedistribueerde infrastructuur van DNS-resolvers, DoH maakt gebruik van binding aan een specifieke DoH-service, die kan worden beschouwd als een single point of Failure).
Als DoH wordt geactiveerd, kunnen systemen voor ouderlijk toezicht en bedrijfsnetwerken die de interne netwerk-only DNS-naamstructuur gebruiken om intranetadressen en bedrijfshosts op te lossen, worden verstoord. Om problemen met dergelijke systemen op te lossen is een systeem van controles toegevoegd dat DoH automatisch uitschakelt. Elke keer dat de browser wordt gestart of wanneer een subnetwijziging wordt gedetecteerd, worden er controles uitgevoerd.
Er wordt ook automatisch teruggekeerd naar het gebruik van de standaard besturingssysteemresolver als er fouten optreden tijdens de resolutie via DoH (bijvoorbeeld als de netwerkbeschikbaarheid bij de DoH-provider wordt verstoord of als er fouten optreden in de infrastructuur ervan). De betekenis van dergelijke controles is twijfelachtig, omdat niemand verhindert dat aanvallers die de werking van de solver controleren of het verkeer kunnen verstoren, soortgelijk gedrag simuleren om de codering van DNS-verkeer uit te schakelen. Het probleem werd opgelost door het item “DoH altijd” toe te voegen aan de instellingen (stil inactief). Indien ingesteld, wordt automatische uitschakeling niet toegepast, wat een redelijk compromis is.
Om bedrijfsresolvers te identificeren, worden atypische eerstelijnsdomeinen (TLD's) gecontroleerd en retourneert de systeemresolver intranetadressen. Om te bepalen of ouderlijk toezicht is ingeschakeld, wordt geprobeerd de naam exampleadultsite.com om te zetten. Als het resultaat niet overeenkomt met het werkelijke IP-adres, wordt aangenomen dat het blokkeren van inhoud voor volwassenen actief is op DNS-niveau. Google- en YouTube-IP-adressen worden ook als tekens gecontroleerd om te zien of ze zijn vervangen door restrict.youtube.com, forcesafesearch.google.com en restrictmoderate.youtube.com. Extra Mozilla een enkele testhost implementeren , die ISP's en diensten voor ouderlijk toezicht kunnen gebruiken als vlag om DoH uit te schakelen (als de host niet wordt gedetecteerd, schakelt Firefox DoH uit).
Het werken via een enkele DoH-service kan mogelijk ook leiden tot problemen met verkeersoptimalisatie in netwerken voor inhoudslevering die het verkeer verdelen met behulp van DNS (de DNS-server van het CDN-netwerk genereert een reactie waarbij rekening wordt gehouden met het resolveradres en biedt de dichtstbijzijnde host om de inhoud te ontvangen). Het verzenden van een DNS-query vanaf de oplosser die zich het dichtst bij de gebruiker bevindt in dergelijke CDN's resulteert in het retourneren van het adres van de host die het dichtst bij de gebruiker ligt, maar het verzenden van een DNS-query vanaf een gecentraliseerde oplosser retourneert het hostadres dat zich het dichtst bij de DNS-over-HTTPS-server bevindt . Uit tests in de praktijk bleek dat het gebruik van DNS-over-HTTP bij gebruik van een CDN vrijwel geen vertraging opleverde vóór de start van de inhoudsoverdracht (voor snelle verbindingen bedroegen de vertragingen niet meer dan 10 milliseconden en werden zelfs snellere prestaties waargenomen op langzame communicatiekanalen ). Er werd ook overwogen om de EDNS Client Subnet-extensie te gebruiken om informatie over de clientlocatie aan de CDN-resolver te verstrekken.
Laten we niet vergeten dat DoH nuttig kan zijn voor het voorkomen van het lekken van informatie over de opgevraagde hostnamen via de DNS-servers van providers, het tegengaan van MITM-aanvallen en spoofing van DNS-verkeer, het tegengaan van blokkering op DNS-niveau, of voor het organiseren van werk in het geval dat dit gebeurt. het is onmogelijk om rechtstreeks toegang te krijgen tot DNS-servers (bijvoorbeeld wanneer u via een proxy werkt). Als in een normale situatie DNS-verzoeken rechtstreeks naar de DNS-servers worden verzonden die in de systeemconfiguratie zijn gedefinieerd, wordt in het geval van DoH het verzoek om het IP-adres van de host te bepalen ingekapseld in HTTPS-verkeer en naar de HTTP-server gestuurd, waar de oplosser de processen verwerkt. aanvragen via de Web API. De bestaande DNSSEC-standaard gebruikt alleen encryptie om de client en server te authenticeren, maar beschermt het verkeer niet tegen onderschepping en garandeert niet de vertrouwelijkheid van verzoeken.
Om DoH in about:config in te schakelen, moet u de waarde van de variabele network.trr.mode wijzigen, die wordt ondersteund sinds Firefox 60. Een waarde van 0 schakelt DoH volledig uit; 1 - DNS of DoH wordt gebruikt, afhankelijk van welke sneller is; 2 - DoH wordt standaard gebruikt en DNS wordt gebruikt als reserveoptie; 3 - er wordt alleen DoH gebruikt; 4 - spiegelmodus waarin DoH en DNS parallel worden gebruikt. Standaard wordt de CloudFlare DNS-server gebruikt, maar deze kan worden gewijzigd via de parameter network.trr.uri. U kunt bijvoorbeeld “https://dns.google.com/experimental” of “https://9.9.9.9” instellen. .XNUMX/dns-query "
Bron: opennet.ru