Firefox-utviklere om fullføring av teststøtte for DNS over HTTPS (DoH, DNS over HTTPS) og intensjonen om å aktivere denne teknologien som standard for amerikanske brukere i slutten av september. Aktiveringen vil bli utført gradvis, først for noen få prosent av brukerne, og hvis det ikke er problemer, gradvis økende til 100%. Når USA er dekket, vil DoH bli vurdert for inkludering i andre land.
Tester utført gjennom året viste påliteligheten og god ytelse av tjenesten, og gjorde det også mulig å identifisere noen situasjoner der DoH kan føre til problemer og utvikle løsninger for å omgå dem (for eksempel demontert med trafikkoptimalisering i innholdsleveringsnettverk, foreldrekontroll og bedriftens interne DNS-soner).
Viktigheten av å kryptere DNS-trafikk vurderes som en grunnleggende viktig faktor for å beskytte brukere, så det ble besluttet å aktivere DoH som standard, men i første omgang kun for brukere fra USA. Etter å ha aktivert DoH, vil brukeren motta en advarsel som vil tillate, om ønskelig, å nekte å kontakte sentraliserte DoH DNS-servere og gå tilbake til den tradisjonelle ordningen med å sende ukrypterte forespørsler til leverandørens DNS-server (i stedet for en distribuert infrastruktur av DNS-resolvere, DoH bruker binding til en spesifikk DoH-tjeneste, som kan betraktes som et enkelt feilpunkt).
Hvis DoH er aktivert, kan foreldrekontrollsystemer og bedriftsnettverk som bruker den interne nettverksbaserte DNS-navnestrukturen for å løse intranettadresser og bedriftsverter bli forstyrret. For å løse problemer med slike systemer er det lagt til et kontrollsystem som automatisk deaktiverer DoH. Kontroller utføres hver gang nettleseren startes eller når en subnett-endring oppdages.
En automatisk tilbakevending til å bruke standard operativsystemløser er også gitt hvis feil oppstår under løsning via DoH (for eksempel hvis nettverkstilgjengelighet hos DoH-leverandøren blir forstyrret eller feil oppstår i infrastrukturen). Betydningen av slike kontroller er tvilsom, siden ingen hindrer angripere som kontrollerer driften av resolveren eller er i stand til å forstyrre trafikk fra å simulere lignende oppførsel for å deaktivere kryptering av DNS-trafikk. Problemet ble løst ved å legge til "DoH alltid"-elementet til innstillingene (stille inaktivt), når det er angitt, brukes ikke automatisk avstenging, noe som er et rimelig kompromiss.
For å identifisere bedriftsløsere sjekkes atypiske førstenivådomener (TLDer) og systemløseren returnerer intranettadresser. For å finne ut om foreldrekontroll er aktivert, forsøkes det å løse navnet exampleadultsite.com, og hvis resultatet ikke samsvarer med den faktiske IP-en, anses det at blokkering av voksent innhold er aktiv på DNS-nivå. Google og YouTube IP-adresser blir også sjekket som tegn for å se om de er erstattet av restrict.youtube.com, forcesafesearch.google.com og restrictmoderate.youtube.com. Ekstra Mozilla implementere en enkelt testvert , som Internett-leverandører og foreldrekontrolltjenester kan bruke som et flagg for å deaktivere DoH (hvis verten ikke oppdages, deaktiverer Firefox DoH).
Å jobbe gjennom en enkelt DoH-tjeneste kan også potensielt føre til problemer med trafikkoptimalisering i innholdsleveringsnettverk som balanserer trafikk ved bruk av DNS (CDN-nettverkets DNS-server genererer et svar som tar hensyn til løseradressen og gir den nærmeste verten for å motta innholdet). Sending av en DNS-spørring fra resolveren nærmest brukeren i slike CDN-er resulterer i å returnere adressen til verten nærmest brukeren, men å sende en DNS-spørring fra en sentralisert resolver vil returnere vertsadressen nærmest DNS-over-HTTPS-serveren . Testing i praksis viste at bruk av DNS-over-HTTP ved bruk av CDN førte til praktisk talt ingen forsinkelser før starten av innholdsoverføring (for raske tilkoblinger oversteg ikke forsinkelsene 10 millisekunder, og enda raskere ytelse ble observert på trege kommunikasjonskanaler ). Bruken av EDNS Client Subnet-utvidelsen ble også vurdert for å gi klientposisjonsinformasjon til CDN-resolveren.
La oss minne om at DoH kan være nyttig for å forhindre lekkasjer av informasjon om de forespurte vertsnavnene gjennom DNS-serverne til leverandørene, bekjempe MITM-angrep og spoofing av DNS-trafikk, motvirke blokkering på DNS-nivå, eller for å organisere arbeidet i tilfelle det er umulig å få direkte tilgang til DNS-servere (for eksempel når du arbeider gjennom en proxy). Hvis DNS-forespørsler i en normal situasjon sendes direkte til DNS-servere som er definert i systemkonfigurasjonen, er forespørselen om å bestemme vertens IP-adresse, i tilfelle av DoH, innkapslet i HTTPS-trafikk og sendt til HTTP-serveren, hvor løseren behandler forespørsler via web-API. Den eksisterende DNSSEC-standarden bruker kryptering kun for å autentisere klienten og serveren, men beskytter ikke trafikk mot avlytting og garanterer ikke konfidensialiteten til forespørsler.
For å aktivere DoH i about:config, må du endre verdien på network.trr.mode-variabelen, som har vært støttet siden Firefox 60. En verdi på 0 deaktiverer DoH fullstendig; 1 - DNS eller DoH brukes, avhengig av hva som er raskest; 2 - DoH brukes som standard, og DNS brukes som et reservealternativ; 3 - bare DoH brukes; 4 - speilmodus der DoH og DNS brukes parallelt. Som standard brukes CloudFlare DNS-serveren, men den kan endres gjennom parameteren network.trr.uri, for eksempel kan du angi "https://dns.google.com/experimental" eller "https://9.9.9.9 .XNUMX/dns-query "
Kilde: opennet.ru