Twórcy Firefoksa o domyślnym włączeniu trybu DNS przez HTTPS (DoH, DNS przez HTTPS) dla użytkowników z USA. Szyfrowanie ruchu DNS jest uważane za fundamentalnie ważny czynnik ochrony użytkowników. Od dzisiaj wszystkie nowe instalacje użytkowników z USA będą domyślnie miały włączone DoH. Obecni użytkownicy w USA mają zostać przełączeni na DoH w ciągu kilku tygodni. W Unii Europejskiej i innych krajach domyślnie aktywuj DoH .
Po aktywacji DoH użytkownikowi wyświetlane jest ostrzeżenie, które w razie potrzeby pozwala odmówić kontaktu ze scentralizowanymi serwerami DNS DoH i powrócić do tradycyjnego schematu wysyłania niezaszyfrowanych zapytań do serwera DNS dostawcy. Zamiast rozproszonej infrastruktury programów rozpoznawania nazw DNS, DoH wykorzystuje powiązanie z określoną usługą DoH, co można uznać za pojedynczy punkt awarii. Obecnie praca jest oferowana przez dwóch dostawców DNS - CloudFlare (domyślnie) i .
Zmień dostawcę lub wyłącz DoH w ustawieniach połączenia sieciowego. Na przykład możesz określić alternatywny serwer DoH „https://dns.google/dns-query”, aby uzyskać dostęp do serwerów Google, „https://dns.quad9.net/dns-query” - Quad9 i „https:/ /doh .opendns.com/dns-query” – OpenDNS. About:config udostępnia również ustawienie network.trr.mode, za pomocą którego można zmienić tryb pracy DoH: wartość 0 całkowicie wyłącza DoH; 1 - używany jest DNS lub DoH, w zależności od tego, co jest szybsze; 2 — DoH jest używany domyślnie, a DNS jest używany jako opcja awaryjna; 3 - używany jest tylko DoH; 4 - tryb lustrzany, w którym równolegle używane są DoH i DNS.
Przypomnijmy, że DoH może być przydatny do zapobiegania wyciekom informacji o żądanych nazwach hostów przez serwery DNS dostawców, zwalczania ataków MITM i fałszowania ruchu DNS (na przykład podczas łączenia się z publicznym Wi-Fi), przeciwdziałania blokowaniu na poziomie DNS (DoH nie może zastąpić VPN w zakresie omijania blokad realizowanych na poziomie DPI) lub do organizacji pracy w przypadku braku możliwości bezpośredniego dostępu do serwerów DNS (np. podczas pracy przez proxy). O ile normalnie żądania DNS są wysyłane bezpośrednio do serwerów DNS zdefiniowanych w konfiguracji systemu, o tyle w przypadku DoH żądanie ustalenia adresu IP hosta jest enkapsulowane w ruchu HTTPS i wysyłane do serwera HTTP, na którym resolver przetwarza żądania poprzez interfejs API sieci Web. Obecny standard DNSSEC wykorzystuje szyfrowanie tylko do uwierzytelnienia klienta i serwera, ale nie chroni ruchu przed przechwyceniem i nie gwarantuje poufności żądań.
Aby wybrać dostawców DoH oferowanych w przeglądarce Firefox, zaufanym resolwerom DNS, zgodnie z którymi operator DNS może wykorzystywać otrzymane dane do rozwiązania wyłącznie w celu zapewnienia działania usługi, nie może przechowywać logów dłużej niż 24 godziny, nie może przekazywać danych osobom trzecim oraz jest zobowiązany do ujawniania informacji o sposobach przetwarzania danych. Usługa musi również zobowiązać się, że nie będzie cenzurować, filtrować, zakłócać ani blokować ruchu DNS, z wyjątkiem przypadków wymaganych przez prawo.
DoH należy stosować ostrożnie. Na przykład w Federacji Rosyjskiej adresy IP 104.16.248.249 i 104.16.249.249 powiązane z domyślnym serwerem DoH mozilla.cloudflare-dns.com oferowanym w przeglądarce Firefox, в na wniosek sądu w Stawropolu z dnia 10.06.2013 czerwca XNUMX r.
DoH może powodować problemy także w obszarach takich jak systemy kontroli rodzicielskiej, dostęp do wewnętrznych przestrzeni nazw w systemach korporacyjnych, wybór trasy w systemach optymalizacji dostarczania treści czy przestrzeganie nakazów sądowych w obszarze zwalczania rozpowszechniania nielegalnych treści i wykorzystywania nieletni. Aby obejść takie problemy, wdrożono i przetestowano system kontroli, który automatycznie wyłącza DoH w określonych warunkach.
Aby zidentyfikować programy rozpoznawania nazw dla przedsiębiorstw, sprawdzane są nietypowe domeny pierwszego poziomu (TLD), a narzędzie rozpoznawania nazw systemowych zwraca adresy intranetowe. Aby ustalić, czy kontrola rodzicielska jest włączona, podejmowana jest próba rozpoznania nazwy exampleadultsite.com i jeśli wynik nie odpowiada rzeczywistemu adresowi IP, uznaje się, że blokowanie treści dla dorosłych jest aktywne na poziomie DNS. Adresy IP Google i YouTube są również sprawdzane w ramach znaków, aby sprawdzić, czy zostały zastąpione przez restrykcyjne.youtube.com, forcesafesearch.google.com i restrykcyjne.youtube.com. Kontrole te pozwalają atakującym, którzy kontrolują działanie modułu rozpoznawania nazw lub mogą zakłócać ruch, symulować takie zachowanie w celu wyłączenia szyfrowania ruchu DNS.
Praca za pośrednictwem pojedynczej usługi DoH może również potencjalnie prowadzić do problemów z optymalizacją ruchu w sieciach dostarczania treści, które równoważą ruch za pomocą DNS (serwer DNS sieci CDN generuje odpowiedź uwzględniając adres modułu rozpoznawania nazw i udostępnia najbliższy host do odbioru treści). Wysłanie zapytania DNS z modułu rozpoznawania nazw najbliższego użytkownikowi w takich sieciach CDN powoduje zwrócenie adresu hosta najbliższego użytkownikowi, ale wysłanie zapytania DNS ze scentralizowanego modułu rozpoznawania nazw zwróci adres hosta najbliższy serwerowi DNS-over-HTTPS . Testy w praktyce wykazały, że zastosowanie DNS-over-HTTP przy korzystaniu z CDN doprowadziło do praktycznie żadnych opóźnień przed rozpoczęciem przesyłania treści (w przypadku szybkich połączeń opóźnienia nie przekraczały 10 milisekund, a jeszcze większą wydajność zaobserwowano na wolnych kanałach komunikacyjnych) ). Rozważano także użycie rozszerzenia podsieci klienta EDNS w celu dostarczenia informacji o lokalizacji klienta do mechanizmu rozpoznawania nazw CDN.
Źródło: opennet.ru