Firefox-utviklere om å aktivere DNS over HTTPS (DoH, DNS over HTTPS)-modus som standard for amerikanske brukere. Kryptering av DNS-trafikk anses som en grunnleggende viktig faktor for å beskytte brukere. Fra og med i dag vil alle nye installasjoner av amerikanske brukere ha DoH aktivert som standard. Eksisterende amerikanske brukere skal etter planen byttes til DoH innen noen få uker. I EU og andre land, aktiver DoH som standard for nå .
Etter aktivering av DoH, vises en advarsel til brukeren, som om ønskelig lar brukeren nekte å kontakte sentraliserte DoH DNS-servere og gå tilbake til den tradisjonelle ordningen med å sende ukrypterte forespørsler til leverandørens DNS-server. I stedet for en distribuert infrastruktur av DNS-resolvere, bruker DoH en binding til en spesifikk DoH-tjeneste, som kan betraktes som et enkelt feilpunkt. Foreløpig tilbys arbeid gjennom to DNS-leverandører - CloudFlare (standard) og .
Bytt leverandør eller deaktiver DoH i nettverkstilkoblingsinnstillingene. Du kan for eksempel spesifisere en alternativ DoH-server "https://dns.google/dns-query" for å få tilgang til Google-servere, "https://dns.quad9.net/dns-query" - Quad9 og "https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config gir også network.trr.mode-innstillingen, der du kan endre DoH-driftsmodusen: en verdi på 0 deaktiverer DoH fullstendig; 1 - DNS eller DoH brukes, avhengig av hva som er raskest; 2 - DoH brukes som standard, og DNS brukes som et reservealternativ; 3 - bare DoH brukes; 4 - speilmodus der DoH og DNS brukes parallelt.
La oss huske at DoH kan være nyttig for å forhindre lekkasjer av informasjon om de forespurte vertsnavnene gjennom DNS-serverne til leverandører, bekjempe MITM-angrep og DNS-trafikk-spoofing (for eksempel når du kobler til offentlig Wi-Fi), motvirke blokkering på DNS. nivå (DoH kan ikke erstatte en VPN i området for å omgå blokkering implementert på DPI-nivå) eller for organisering av arbeid hvis det er umulig å få direkte tilgang til DNS-servere (for eksempel når du arbeider gjennom en proxy). Hvis DNS-forespørsler i en normal situasjon sendes direkte til DNS-servere som er definert i systemkonfigurasjonen, er forespørselen om å bestemme vertens IP-adresse, i tilfelle av DoH, innkapslet i HTTPS-trafikk og sendt til HTTP-serveren, hvor løseren behandler forespørsler via web-API. Den eksisterende DNSSEC-standarden bruker kryptering kun for å autentisere klienten og serveren, men beskytter ikke trafikk mot avlytting og garanterer ikke konfidensialiteten til forespørsler.
For å velge DoH-leverandørene som tilbys i Firefox, til pålitelige DNS-resolvere, ifølge hvilke DNS-operatøren kan bruke dataene som mottas til løsning kun for å sikre driften av tjenesten, ikke må lagre logger i mer enn 24 timer, ikke kan overføre data til tredjeparter og er forpliktet til å utlevere informasjon om databehandlingsmetoder. Tjenesten må også godta å ikke sensurere, filtrere, forstyrre eller blokkere DNS-trafikk, unntatt i situasjoner gitt ved lov.
DoH bør brukes med forsiktighet. For eksempel, i den russiske føderasjonen, IP-adressene 104.16.248.249 og 104.16.249.249 knyttet til standard DoH-serveren mozilla.cloudflare-dns.com som tilbys i Firefox, в etter anmodning fra Stavropol-domstolen datert 10.06.2013. juni XNUMX.
DoH kan også forårsake problemer på områder som foreldrekontrollsystemer, tilgang til interne navnerom i bedriftssystemer, rutevalg i optimeringssystemer for innholdslevering og etterlevelse av rettskjennelser innen bekjempelse av distribusjon av ulovlig innhold og utnyttelse av mindreårige. For å omgå slike problemer er det implementert og testet et kontrollsystem som automatisk deaktiverer DoH under visse forhold.
For å identifisere bedriftsløsere sjekkes atypiske førstenivådomener (TLDer) og systemløseren returnerer intranettadresser. For å finne ut om foreldrekontroll er aktivert, forsøkes det å løse navnet exampleadultsite.com, og hvis resultatet ikke samsvarer med den faktiske IP-en, anses det at blokkering av voksent innhold er aktiv på DNS-nivå. Google og YouTube IP-adresser blir også sjekket som tegn for å se om de er erstattet av restrict.youtube.com, forcesafesearch.google.com og restrictmoderate.youtube.com. Disse kontrollene lar angripere som kontrollerer driften av løseren eller er i stand til å forstyrre trafikken, å simulere slik oppførsel for å deaktivere kryptering av DNS-trafikk.
Å jobbe gjennom en enkelt DoH-tjeneste kan også potensielt føre til problemer med trafikkoptimalisering i innholdsleveringsnettverk som balanserer trafikk ved bruk av DNS (CDN-nettverkets DNS-server genererer et svar som tar hensyn til løseradressen og gir den nærmeste verten for å motta innholdet). Sending av en DNS-spørring fra resolveren nærmest brukeren i slike CDN-er resulterer i å returnere adressen til verten nærmest brukeren, men å sende en DNS-spørring fra en sentralisert resolver vil returnere vertsadressen nærmest DNS-over-HTTPS-serveren . Testing i praksis viste at bruk av DNS-over-HTTP ved bruk av CDN førte til praktisk talt ingen forsinkelser før starten av innholdsoverføring (for raske tilkoblinger oversteg ikke forsinkelsene 10 millisekunder, og enda raskere ytelse ble observert på trege kommunikasjonskanaler ). Bruken av EDNS Client Subnet-utvidelsen ble også vurdert for å gi klientposisjonsinformasjon til CDN-resolveren.
Kilde: opennet.ru