Twórcy Firefoksa o zakończeniu testów obsługi DNS over HTTPS (DoH, DNS over HTTPS) i zamiarze domyślnego włączenia tej technologii dla użytkowników w USA pod koniec września. Aktywacja będzie przeprowadzana stopniowo, początkowo dla kilku procent użytkowników, a jeśli nie będzie problemów, stopniowo wzrastając do 100%. Po uwzględnieniu Stanów Zjednoczonych rozważy się włączenie DoH do innych krajów.
Przeprowadzane przez cały rok testy wykazały niezawodność i dobre działanie usługi, a także pozwoliły zidentyfikować pewne sytuacje, w których DoH może prowadzić do problemów i opracować rozwiązania pozwalające na ich obejście (np. zdemontowane z optymalizacją ruchu w sieciach dostarczania treści, kontrolą rodzicielską i wewnętrznymi strefami DNS firmy).
Znaczenie szyfrowania ruchu DNS ocenia się jako fundamentalnie ważny czynnik w ochronie użytkowników, dlatego zdecydowano się domyślnie włączyć DoH, ale w pierwszym etapie tylko dla użytkowników ze Stanów Zjednoczonych. Po aktywacji DoH użytkownik otrzyma ostrzeżenie, które pozwoli w razie potrzeby odmówić kontaktu ze scentralizowanymi serwerami DNS DoH i powrócić do tradycyjnego schematu wysyłania niezaszyfrowanych żądań do serwera DNS dostawcy (zamiast rozproszonej infrastruktury usług rozpoznawania nazw DNS, DoH używa powiązania z konkretną usługą DoH, co można uznać za pojedynczy punkt awarii).
Jeśli funkcja DoH jest aktywowana, systemy kontroli rodzicielskiej i sieci korporacyjne korzystające ze struktury nazw DNS przeznaczonej wyłącznie dla sieci wewnętrznej do rozpoznawania adresów intranetowych i hostów korporacyjnych mogą zostać zakłócone. Aby rozwiązać problemy z takimi systemami, dodano system kontroli, który automatycznie wyłącza DoH. Kontrole przeprowadzane są przy każdym uruchomieniu przeglądarki lub po wykryciu zmiany podsieci.
Zapewniony jest także automatyczny powrót do korzystania ze standardowego narzędzia do rozpoznawania nazw systemu operacyjnego, jeśli podczas rozwiązywania za pośrednictwem DoH wystąpią awarie (na przykład, jeśli dostępność sieci u dostawcy DoH zostanie zakłócona lub wystąpią awarie w jego infrastrukturze). Znaczenie takich kontroli jest wątpliwe, ponieważ nikt nie uniemożliwia atakującym, którzy kontrolują działanie mechanizmu rozpoznawania nazw lub są w stanie zakłócać ruch, symulowania podobnego zachowania w celu wyłączenia szyfrowania ruchu DNS. Problem rozwiązano dodając do ustawień opcję „DoH zawsze” (cicho nieaktywna), po ustawieniu automatyczne wyłączanie nie jest stosowane, co jest rozsądnym kompromisem.
Aby zidentyfikować programy rozpoznawania nazw dla przedsiębiorstw, sprawdzane są nietypowe domeny pierwszego poziomu (TLD), a narzędzie rozpoznawania nazw systemowych zwraca adresy intranetowe. Aby ustalić, czy kontrola rodzicielska jest włączona, podejmowana jest próba rozpoznania nazwy exampleadultsite.com i jeśli wynik nie odpowiada rzeczywistemu adresowi IP, uznaje się, że blokowanie treści dla dorosłych jest aktywne na poziomie DNS. Adresy IP Google i YouTube są również sprawdzane w ramach znaków, aby sprawdzić, czy zostały zastąpione przez restrykcyjne.youtube.com, forcesafesearch.google.com i restrykcyjne.youtube.com. Dodatkowa Mozilla zaimplementuj jednego hosta testowego , którego dostawcy usług internetowych i usługi kontroli rodzicielskiej mogą używać jako flagi wyłączającej DoH (jeśli host nie zostanie wykryty, Firefox wyłącza DoH).
Praca za pośrednictwem pojedynczej usługi DoH może również potencjalnie prowadzić do problemów z optymalizacją ruchu w sieciach dostarczania treści, które równoważą ruch za pomocą DNS (serwer DNS sieci CDN generuje odpowiedź uwzględniając adres modułu rozpoznawania nazw i udostępnia najbliższy host do odbioru treści). Wysłanie zapytania DNS z modułu rozpoznawania nazw najbliższego użytkownikowi w takich sieciach CDN powoduje zwrócenie adresu hosta najbliższego użytkownikowi, ale wysłanie zapytania DNS ze scentralizowanego modułu rozpoznawania nazw zwróci adres hosta najbliższy serwerowi DNS-over-HTTPS . Testy w praktyce wykazały, że zastosowanie DNS-over-HTTP przy korzystaniu z CDN doprowadziło do praktycznie żadnych opóźnień przed rozpoczęciem przesyłania treści (w przypadku szybkich połączeń opóźnienia nie przekraczały 10 milisekund, a jeszcze większą wydajność zaobserwowano na wolnych kanałach komunikacyjnych) ). Rozważano także użycie rozszerzenia podsieci klienta EDNS w celu dostarczenia informacji o lokalizacji klienta do mechanizmu rozpoznawania nazw CDN.
Przypomnijmy, że DoH może być przydatny w zapobieganiu wyciekom informacji o żądanych nazwach hostów przez serwery DNS dostawców, zwalczaniu ataków MITM i fałszowaniu ruchu DNS, przeciwdziałaniu blokowaniu na poziomie DNS czy organizowaniu pracy w przypadku, gdy nie można uzyskać bezpośredniego dostępu do serwerów DNS (na przykład podczas pracy przez serwer proxy). Jeżeli w normalnej sytuacji żądania DNS kierowane są bezpośrednio do serwerów DNS zdefiniowanych w konfiguracji systemu, to w przypadku DoH żądanie ustalenia adresu IP hosta jest hermetyzowane w ruchu HTTPS i wysyłane do serwera HTTP, gdzie resolwer przetwarza żądań za pośrednictwem interfejsu API sieci Web. Istniejący standard DNSSEC wykorzystuje szyfrowanie jedynie do uwierzytelnienia klienta i serwera, ale nie chroni ruchu przed przechwyceniem i nie gwarantuje poufności żądań.
Aby włączyć DoH w about:config, musisz zmienić wartość zmiennej network.trr.mode, która jest obsługiwana od wersji Firefox 60. Wartość 0 całkowicie wyłącza DoH; 1 - używany jest DNS lub DoH, w zależności od tego, co jest szybsze; 2 - DoH jest używany domyślnie, a DNS jest używany jako opcja awaryjna; 3 - używany jest tylko DoH; 4 - tryb lustrzany, w którym równolegle używane są DoH i DNS. Domyślnie używany jest serwer DNS CloudFlare, ale można to zmienić za pomocą parametru network.trr.uri, na przykład możesz ustawić „https://dns.google.com/experimental” lub „https://9.9.9.9 .XNUMX/dns-query "
Źródło: opennet.ru