Desenvolvedores do Firefox
Após a ativação do DoH, um aviso é exibido ao usuário, o que permite, se desejar, recusar o contato com os servidores DNS centralizados do DoH e retornar ao esquema tradicional de envio de consultas não criptografadas ao servidor DNS do provedor. Em vez de uma infraestrutura distribuída de resolvedores de DNS, o DoH usa uma ligação a um serviço específico do DoH, que pode ser considerado um ponto único de falha. Atualmente, o trabalho é oferecido através de dois provedores de DNS – CloudFlare (padrão) e
Alterar provedor ou desativar DoH
Lembre-se de que o DoH pode ser útil para evitar vazamentos de informações sobre nomes de host solicitados por meio dos servidores DNS dos provedores, combater ataques MITM e falsificação de tráfego DNS (por exemplo, ao conectar-se a Wi-Fi público), combater o bloqueio no nível DNS (DoH não pode substituir a VPN na área de contornar o bloqueio implementado no nível DPI) ou para organizar o trabalho caso seja impossível acessar diretamente os servidores DNS (por exemplo, ao trabalhar por meio de um proxy). Enquanto normalmente as requisições DNS são enviadas diretamente aos servidores DNS definidos na configuração do sistema, no caso do DoH, a requisição para determinar o endereço IP do host é encapsulada no tráfego HTTPS e enviada ao servidor HTTP, no qual o resolvedor processa as requisições via a API Web. O padrão DNSSEC atual usa criptografia apenas para autenticar o cliente e o servidor, mas não protege o tráfego de interceptação e não garante a confidencialidade das solicitações.
Para selecionar os provedores de DoH oferecidos no Firefox,
DoH deve ser usado com cautela. Por exemplo, na Federação Russa, os endereços IP 104.16.248.249 e 104.16.249.249 associados ao servidor DoH padrão mozilla.cloudflare-dns.com oferecido no Firefox,
O DoH também pode causar problemas em áreas como sistemas de controle parental, acesso a namespaces internos em sistemas corporativos, seleção de rotas em sistemas de otimização de entrega de conteúdo e cumprimento de ordens judiciais na área de combate à distribuição de conteúdo ilegal e à exploração de menores. Para contornar tais problemas, foi implementado e testado um sistema de verificação que desativa automaticamente o DoH sob certas condições.
Para identificar resolvedores corporativos, domínios de primeiro nível (TLDs) atípicos são verificados e o resolvedor do sistema retorna endereços de intranet. Para determinar se o controle parental está habilitado, é feita uma tentativa de resolver o nome exampleadultsite.com e se o resultado não corresponder ao IP real, considera-se que o bloqueio de conteúdo adulto está ativo no nível DNS. Os endereços IP do Google e do YouTube também são verificados como sinais para ver se foram substituídos por strict.youtube.com, forcesafesearch.google.com e strictmoderate.youtube.com. Essas verificações permitem que invasores que controlam a operação do resolvedor ou sejam capazes de interferir no tráfego simulem tal comportamento para desabilitar a criptografia do tráfego DNS.
Trabalhar através de um único serviço DoH também pode levar a problemas de otimização de tráfego em redes de entrega de conteúdo que equilibram o tráfego usando DNS (o servidor DNS da rede CDN gera uma resposta levando em consideração o endereço do resolvedor e fornece o host mais próximo para receber o conteúdo). O envio de uma consulta DNS do resolvedor mais próximo do usuário em tais CDNs resulta no retorno do endereço do host mais próximo do usuário, mas o envio de uma consulta DNS de um resolvedor centralizado retornará o endereço do host mais próximo do servidor DNS sobre HTTPS . Os testes na prática mostraram que o uso de DNS sobre HTTP ao usar um CDN praticamente não levou a atrasos antes do início da transferência de conteúdo (para conexões rápidas, os atrasos não excederam 10 milissegundos e um desempenho ainda mais rápido foi observado em canais de comunicação lentos ). O uso da extensão EDNS Client Subnet também foi considerado para fornecer informações de localização do cliente ao resolvedor CDN.
Fonte: opennet.ru