Twórcy Firefoksa
Po aktywacji DoH użytkownikowi wyświetlane jest ostrzeżenie, które w razie potrzeby pozwala odmówić kontaktu ze scentralizowanymi serwerami DNS DoH i powrócić do tradycyjnego schematu wysyłania niezaszyfrowanych zapytań do serwera DNS dostawcy. Zamiast rozproszonej infrastruktury programów rozpoznawania nazw DNS, DoH wykorzystuje powiązanie z określoną usługą DoH, co można uznać za pojedynczy punkt awarii. Obecnie praca jest oferowana przez dwóch dostawców DNS - CloudFlare (domyślnie) i
Zmień dostawcę lub wyłącz DoH
Przypomnijmy, że DoH może być przydatny do zapobiegania wyciekom informacji o żądanych nazwach hostów przez serwery DNS dostawców, zwalczania ataków MITM i fałszowania ruchu DNS (na przykład podczas łączenia się z publicznym Wi-Fi), przeciwdziałania blokowaniu na poziomie DNS (DoH nie może zastąpić VPN w zakresie omijania blokad realizowanych na poziomie DPI) lub do organizacji pracy w przypadku braku możliwości bezpośredniego dostępu do serwerów DNS (np. podczas pracy przez proxy). O ile normalnie żądania DNS są wysyłane bezpośrednio do serwerów DNS zdefiniowanych w konfiguracji systemu, o tyle w przypadku DoH żądanie ustalenia adresu IP hosta jest enkapsulowane w ruchu HTTPS i wysyłane do serwera HTTP, na którym resolver przetwarza żądania poprzez interfejs API sieci Web. Obecny standard DNSSEC wykorzystuje szyfrowanie tylko do uwierzytelnienia klienta i serwera, ale nie chroni ruchu przed przechwyceniem i nie gwarantuje poufności żądań.
Aby wybrać dostawców DoH oferowanych w przeglądarce Firefox,
DoH należy stosować ostrożnie. Na przykład w Federacji Rosyjskiej adresy IP 104.16.248.249 i 104.16.249.249 powiązane z domyślnym serwerem DoH mozilla.cloudflare-dns.com oferowanym w przeglądarce Firefox,
DoH może powodować problemy także w obszarach takich jak systemy kontroli rodzicielskiej, dostęp do wewnętrznych przestrzeni nazw w systemach korporacyjnych, wybór trasy w systemach optymalizacji dostarczania treści czy przestrzeganie nakazów sądowych w obszarze zwalczania rozpowszechniania nielegalnych treści i wykorzystywania nieletni. Aby obejść takie problemy, wdrożono i przetestowano system kontroli, który automatycznie wyłącza DoH w określonych warunkach.
Aby zidentyfikować programy rozpoznawania nazw dla przedsiębiorstw, sprawdzane są nietypowe domeny pierwszego poziomu (TLD), a narzędzie rozpoznawania nazw systemowych zwraca adresy intranetowe. Aby ustalić, czy kontrola rodzicielska jest włączona, podejmowana jest próba rozpoznania nazwy exampleadultsite.com i jeśli wynik nie odpowiada rzeczywistemu adresowi IP, uznaje się, że blokowanie treści dla dorosłych jest aktywne na poziomie DNS. Adresy IP Google i YouTube są również sprawdzane w ramach znaków, aby sprawdzić, czy zostały zastąpione przez restrykcyjne.youtube.com, forcesafesearch.google.com i restrykcyjne.youtube.com. Kontrole te pozwalają atakującym, którzy kontrolują działanie modułu rozpoznawania nazw lub mogą zakłócać ruch, symulować takie zachowanie w celu wyłączenia szyfrowania ruchu DNS.
Praca za pośrednictwem pojedynczej usługi DoH może również potencjalnie prowadzić do problemów z optymalizacją ruchu w sieciach dostarczania treści, które równoważą ruch za pomocą DNS (serwer DNS sieci CDN generuje odpowiedź uwzględniając adres modułu rozpoznawania nazw i udostępnia najbliższy host do odbioru treści). Wysłanie zapytania DNS z modułu rozpoznawania nazw najbliższego użytkownikowi w takich sieciach CDN powoduje zwrócenie adresu hosta najbliższego użytkownikowi, ale wysłanie zapytania DNS ze scentralizowanego modułu rozpoznawania nazw zwróci adres hosta najbliższy serwerowi DNS-over-HTTPS . Testy w praktyce wykazały, że zastosowanie DNS-over-HTTP przy korzystaniu z CDN doprowadziło do praktycznie żadnych opóźnień przed rozpoczęciem przesyłania treści (w przypadku szybkich połączeń opóźnienia nie przekraczały 10 milisekund, a jeszcze większą wydajność zaobserwowano na wolnych kanałach komunikacyjnych) ). Rozważano także użycie rozszerzenia podsieci klienta EDNS w celu dostarczenia informacji o lokalizacji klienta do mechanizmu rozpoznawania nazw CDN.
Źródło: opennet.ru