Firefox-utviklere
Etter aktivering av DoH, vises en advarsel til brukeren, som om ønskelig lar brukeren nekte å kontakte sentraliserte DoH DNS-servere og gå tilbake til den tradisjonelle ordningen med å sende ukrypterte forespørsler til leverandørens DNS-server. I stedet for en distribuert infrastruktur av DNS-resolvere, bruker DoH en binding til en spesifikk DoH-tjeneste, som kan betraktes som et enkelt feilpunkt. Foreløpig tilbys arbeid gjennom to DNS-leverandører - CloudFlare (standard) og
Bytt leverandør eller deaktiver DoH
La oss huske at DoH kan være nyttig for å forhindre lekkasjer av informasjon om de forespurte vertsnavnene gjennom DNS-serverne til leverandører, bekjempe MITM-angrep og DNS-trafikk-spoofing (for eksempel når du kobler til offentlig Wi-Fi), motvirke blokkering på DNS. nivå (DoH kan ikke erstatte en VPN i området for å omgå blokkering implementert på DPI-nivå) eller for organisering av arbeid hvis det er umulig å få direkte tilgang til DNS-servere (for eksempel når du arbeider gjennom en proxy). Hvis DNS-forespørsler i en normal situasjon sendes direkte til DNS-servere som er definert i systemkonfigurasjonen, er forespørselen om å bestemme vertens IP-adresse, i tilfelle av DoH, innkapslet i HTTPS-trafikk og sendt til HTTP-serveren, hvor løseren behandler forespørsler via web-API. Den eksisterende DNSSEC-standarden bruker kryptering kun for å autentisere klienten og serveren, men beskytter ikke trafikk mot avlytting og garanterer ikke konfidensialiteten til forespørsler.
For å velge DoH-leverandørene som tilbys i Firefox,
DoH bør brukes med forsiktighet. For eksempel, i den russiske føderasjonen, IP-adressene 104.16.248.249 og 104.16.249.249 knyttet til standard DoH-serveren mozilla.cloudflare-dns.com som tilbys i Firefox,
DoH kan også forårsake problemer på områder som foreldrekontrollsystemer, tilgang til interne navnerom i bedriftssystemer, rutevalg i optimeringssystemer for innholdslevering og etterlevelse av rettskjennelser innen bekjempelse av distribusjon av ulovlig innhold og utnyttelse av mindreårige. For å omgå slike problemer er det implementert og testet et kontrollsystem som automatisk deaktiverer DoH under visse forhold.
For å identifisere bedriftsløsere sjekkes atypiske førstenivådomener (TLDer) og systemløseren returnerer intranettadresser. For å finne ut om foreldrekontroll er aktivert, forsøkes det å løse navnet exampleadultsite.com, og hvis resultatet ikke samsvarer med den faktiske IP-en, anses det at blokkering av voksent innhold er aktiv på DNS-nivå. Google og YouTube IP-adresser blir også sjekket som tegn for å se om de er erstattet av restrict.youtube.com, forcesafesearch.google.com og restrictmoderate.youtube.com. Disse kontrollene lar angripere som kontrollerer driften av løseren eller er i stand til å forstyrre trafikken, å simulere slik oppførsel for å deaktivere kryptering av DNS-trafikk.
Å jobbe gjennom en enkelt DoH-tjeneste kan også potensielt føre til problemer med trafikkoptimalisering i innholdsleveringsnettverk som balanserer trafikk ved bruk av DNS (CDN-nettverkets DNS-server genererer et svar som tar hensyn til løseradressen og gir den nærmeste verten for å motta innholdet). Sending av en DNS-spørring fra resolveren nærmest brukeren i slike CDN-er resulterer i å returnere adressen til verten nærmest brukeren, men å sende en DNS-spørring fra en sentralisert resolver vil returnere vertsadressen nærmest DNS-over-HTTPS-serveren . Testing i praksis viste at bruk av DNS-over-HTTP ved bruk av CDN førte til praktisk talt ingen forsinkelser før starten av innholdsoverføring (for raske tilkoblinger oversteg ikke forsinkelsene 10 millisekunder, og enda raskere ytelse ble observert på trege kommunikasjonskanaler ). Bruken av EDNS Client Subnet-utvidelsen ble også vurdert for å gi klientposisjonsinformasjon til CDN-resolveren.
Kilde: opennet.ru