Twórcy Firefoksa
Przeprowadzane przez cały rok testy wykazały niezawodność i dobre działanie usługi, a także pozwoliły zidentyfikować pewne sytuacje, w których DoH może prowadzić do problemów i opracować rozwiązania pozwalające na ich obejście (np. zdemontowane
Znaczenie szyfrowania ruchu DNS ocenia się jako fundamentalnie ważny czynnik w ochronie użytkowników, dlatego zdecydowano się domyślnie włączyć DoH, ale w pierwszym etapie tylko dla użytkowników ze Stanów Zjednoczonych. Po aktywacji DoH użytkownik otrzyma ostrzeżenie, które pozwoli w razie potrzeby odmówić kontaktu ze scentralizowanymi serwerami DNS DoH i powrócić do tradycyjnego schematu wysyłania niezaszyfrowanych żądań do serwera DNS dostawcy (zamiast rozproszonej infrastruktury usług rozpoznawania nazw DNS, DoH używa powiązania z konkretną usługą DoH, co można uznać za pojedynczy punkt awarii).
Jeśli funkcja DoH jest aktywowana, systemy kontroli rodzicielskiej i sieci korporacyjne korzystające ze struktury nazw DNS przeznaczonej wyłącznie dla sieci wewnętrznej do rozpoznawania adresów intranetowych i hostów korporacyjnych mogą zostać zakłócone. Aby rozwiązać problemy z takimi systemami, dodano system kontroli, który automatycznie wyłącza DoH. Kontrole przeprowadzane są przy każdym uruchomieniu przeglądarki lub po wykryciu zmiany podsieci.
Zapewniony jest także automatyczny powrót do korzystania ze standardowego narzędzia do rozpoznawania nazw systemu operacyjnego, jeśli podczas rozwiązywania za pośrednictwem DoH wystąpią awarie (na przykład, jeśli dostępność sieci u dostawcy DoH zostanie zakłócona lub wystąpią awarie w jego infrastrukturze). Znaczenie takich kontroli jest wątpliwe, ponieważ nikt nie uniemożliwia atakującym, którzy kontrolują działanie mechanizmu rozpoznawania nazw lub są w stanie zakłócać ruch, symulowania podobnego zachowania w celu wyłączenia szyfrowania ruchu DNS. Problem rozwiązano dodając do ustawień opcję „DoH zawsze” (cicho nieaktywna), po ustawieniu automatyczne wyłączanie nie jest stosowane, co jest rozsądnym kompromisem.
Aby zidentyfikować programy rozpoznawania nazw dla przedsiębiorstw, sprawdzane są nietypowe domeny pierwszego poziomu (TLD), a narzędzie rozpoznawania nazw systemowych zwraca adresy intranetowe. Aby ustalić, czy kontrola rodzicielska jest włączona, podejmowana jest próba rozpoznania nazwy exampleadultsite.com i jeśli wynik nie odpowiada rzeczywistemu adresowi IP, uznaje się, że blokowanie treści dla dorosłych jest aktywne na poziomie DNS. Adresy IP Google i YouTube są również sprawdzane w ramach znaków, aby sprawdzić, czy zostały zastąpione przez restrykcyjne.youtube.com, forcesafesearch.google.com i restrykcyjne.youtube.com. Dodatkowa Mozilla
Praca za pośrednictwem pojedynczej usługi DoH może również potencjalnie prowadzić do problemów z optymalizacją ruchu w sieciach dostarczania treści, które równoważą ruch za pomocą DNS (serwer DNS sieci CDN generuje odpowiedź uwzględniając adres modułu rozpoznawania nazw i udostępnia najbliższy host do odbioru treści). Wysłanie zapytania DNS z modułu rozpoznawania nazw najbliższego użytkownikowi w takich sieciach CDN powoduje zwrócenie adresu hosta najbliższego użytkownikowi, ale wysłanie zapytania DNS ze scentralizowanego modułu rozpoznawania nazw zwróci adres hosta najbliższy serwerowi DNS-over-HTTPS . Testy w praktyce wykazały, że zastosowanie DNS-over-HTTP przy korzystaniu z CDN doprowadziło do praktycznie żadnych opóźnień przed rozpoczęciem przesyłania treści (w przypadku szybkich połączeń opóźnienia nie przekraczały 10 milisekund, a jeszcze większą wydajność zaobserwowano na wolnych kanałach komunikacyjnych) ). Rozważano także użycie rozszerzenia podsieci klienta EDNS w celu dostarczenia informacji o lokalizacji klienta do mechanizmu rozpoznawania nazw CDN.
Przypomnijmy, że DoH może być przydatny w zapobieganiu wyciekom informacji o żądanych nazwach hostów przez serwery DNS dostawców, zwalczaniu ataków MITM i fałszowaniu ruchu DNS, przeciwdziałaniu blokowaniu na poziomie DNS czy organizowaniu pracy w przypadku, gdy nie można uzyskać bezpośredniego dostępu do serwerów DNS (na przykład podczas pracy przez serwer proxy). Jeżeli w normalnej sytuacji żądania DNS kierowane są bezpośrednio do serwerów DNS zdefiniowanych w konfiguracji systemu, to w przypadku DoH żądanie ustalenia adresu IP hosta jest hermetyzowane w ruchu HTTPS i wysyłane do serwera HTTP, gdzie resolwer przetwarza żądań za pośrednictwem interfejsu API sieci Web. Istniejący standard DNSSEC wykorzystuje szyfrowanie jedynie do uwierzytelnienia klienta i serwera, ale nie chroni ruchu przed przechwyceniem i nie gwarantuje poufności żądań.
Aby włączyć DoH w about:config, musisz zmienić wartość zmiennej network.trr.mode, która jest obsługiwana od wersji Firefox 60. Wartość 0 całkowicie wyłącza DoH; 1 - używany jest DNS lub DoH, w zależności od tego, co jest szybsze; 2 - DoH jest używany domyślnie, a DNS jest używany jako opcja awaryjna; 3 - używany jest tylko DoH; 4 - tryb lustrzany, w którym równolegle używane są DoH i DNS. Domyślnie używany jest serwer DNS CloudFlare, ale można to zmienić za pomocą parametru network.trr.uri, na przykład możesz ustawić „https://dns.google.com/experimental” lub „https://9.9.9.9 .XNUMX/dns-query "
Źródło: opennet.ru