Desenvolvedores do Firefox sobre como ativar o modo DNS sobre HTTPS (DoH, DNS sobre HTTPS) por padrão para usuários dos EUA. A criptografia do tráfego DNS é considerada um fator de fundamental importância na proteção dos usuários. A partir de hoje, todas as novas instalações feitas por usuários dos EUA terão o DoH habilitado por padrão. Os usuários existentes nos EUA estão programados para mudar para DoH dentro de algumas semanas. Na União Europeia e em outros países, ative o DoH por padrão por enquanto .
Após a ativação do DoH, um aviso é exibido ao usuário, o que permite, se desejar, recusar o contato com os servidores DNS centralizados do DoH e retornar ao esquema tradicional de envio de consultas não criptografadas ao servidor DNS do provedor. Em vez de uma infraestrutura distribuída de resolvedores de DNS, o DoH usa uma ligação a um serviço específico do DoH, que pode ser considerado um ponto único de falha. Atualmente, o trabalho é oferecido através de dois provedores de DNS – CloudFlare (padrão) e .
Alterar provedor ou desativar DoH nas configurações de conexão de rede. Por exemplo, você pode especificar um servidor DoH alternativo “https://dns.google/dns-query” para acessar os servidores do Google, “https://dns.quad9.net/dns-query” - Quad9 e “https:/ /doh.opendns.com/dns-query" - OpenDNS. About:config também fornece a configuração network.trr.mode, por meio da qual você pode alterar o modo operacional DoH: um valor 0 desativa completamente o DoH; 1 - Utiliza-se DNS ou DoH, o que for mais rápido; 2 - DoH é usado por padrão e DNS é usado como opção de fallback; 3 - utiliza-se apenas DoH; 4 - modo de espelhamento em que DoH e DNS são usados em paralelo.
Lembre-se de que o DoH pode ser útil para evitar vazamentos de informações sobre nomes de host solicitados por meio dos servidores DNS dos provedores, combater ataques MITM e falsificação de tráfego DNS (por exemplo, ao conectar-se a Wi-Fi público), combater o bloqueio no nível DNS (DoH não pode substituir a VPN na área de contornar o bloqueio implementado no nível DPI) ou para organizar o trabalho caso seja impossível acessar diretamente os servidores DNS (por exemplo, ao trabalhar por meio de um proxy). Enquanto normalmente as requisições DNS são enviadas diretamente aos servidores DNS definidos na configuração do sistema, no caso do DoH, a requisição para determinar o endereço IP do host é encapsulada no tráfego HTTPS e enviada ao servidor HTTP, no qual o resolvedor processa as requisições via a API Web. O padrão DNSSEC atual usa criptografia apenas para autenticar o cliente e o servidor, mas não protege o tráfego de interceptação e não garante a confidencialidade das solicitações.
Para selecionar os provedores de DoH oferecidos no Firefox, a resolvedores DNS confiáveis, segundo os quais o operador DNS pode utilizar os dados recebidos para resolução apenas para garantir o funcionamento do serviço, não deve armazenar logs por mais de 24 horas, não pode transferir dados a terceiros e é obrigado a divulgar informações sobre métodos de processamento de dados. O serviço também deve concordar em não censurar, filtrar, interferir ou bloquear o tráfego DNS, exceto nas situações previstas em lei.
DoH deve ser usado com cautela. Por exemplo, na Federação Russa, os endereços IP 104.16.248.249 e 104.16.249.249 associados ao servidor DoH padrão mozilla.cloudflare-dns.com oferecido no Firefox, в a pedido do tribunal de Stavropol datado de 10.06.2013 de junho de XNUMX.
O DoH também pode causar problemas em áreas como sistemas de controle parental, acesso a namespaces internos em sistemas corporativos, seleção de rotas em sistemas de otimização de entrega de conteúdo e cumprimento de ordens judiciais na área de combate à distribuição de conteúdo ilegal e à exploração de menores. Para contornar tais problemas, foi implementado e testado um sistema de verificação que desativa automaticamente o DoH sob certas condições.
Para identificar resolvedores corporativos, domínios de primeiro nível (TLDs) atípicos são verificados e o resolvedor do sistema retorna endereços de intranet. Para determinar se o controle parental está habilitado, é feita uma tentativa de resolver o nome exampleadultsite.com e se o resultado não corresponder ao IP real, considera-se que o bloqueio de conteúdo adulto está ativo no nível DNS. Os endereços IP do Google e do YouTube também são verificados como sinais para ver se foram substituídos por strict.youtube.com, forcesafesearch.google.com e strictmoderate.youtube.com. Essas verificações permitem que invasores que controlam a operação do resolvedor ou sejam capazes de interferir no tráfego simulem tal comportamento para desabilitar a criptografia do tráfego DNS.
Trabalhar através de um único serviço DoH também pode levar a problemas de otimização de tráfego em redes de entrega de conteúdo que equilibram o tráfego usando DNS (o servidor DNS da rede CDN gera uma resposta levando em consideração o endereço do resolvedor e fornece o host mais próximo para receber o conteúdo). O envio de uma consulta DNS do resolvedor mais próximo do usuário em tais CDNs resulta no retorno do endereço do host mais próximo do usuário, mas o envio de uma consulta DNS de um resolvedor centralizado retornará o endereço do host mais próximo do servidor DNS sobre HTTPS . Os testes na prática mostraram que o uso de DNS sobre HTTP ao usar um CDN praticamente não levou a atrasos antes do início da transferência de conteúdo (para conexões rápidas, os atrasos não excederam 10 milissegundos e um desempenho ainda mais rápido foi observado em canais de comunicação lentos ). O uso da extensão EDNS Client Subnet também foi considerado para fornecer informações de localização do cliente ao resolvedor CDN.
Fonte: opennet.ru