Desenvolvedores do Firefox sobre a conclusão dos testes de suporte para DNS sobre HTTPS (DoH, DNS sobre HTTPS) e a intenção de habilitar esta tecnologia por padrão para usuários dos EUA no final de setembro. A ativação será realizada de forma progressiva, inicialmente para uma pequena porcentagem de usuários, e caso não haja problemas, aumentando gradativamente até 100%. Assim que os EUA estiverem cobertos, o DoH será considerado para inclusão em outros países.
Os testes realizados ao longo do ano demonstraram a fiabilidade e o bom desempenho do serviço, e também permitiram identificar algumas situações em que o DoH pode originar problemas e desenvolver soluções para os contornar (por exemplo, desmontagem com otimização de tráfego em redes de entrega de conteúdo, controles parentais e zonas DNS internas corporativas).
A importância da criptografia do tráfego DNS é avaliada como um fator de fundamental importância na proteção dos usuários, por isso foi decidido habilitar o DoH por padrão, mas numa primeira fase apenas para usuários dos Estados Unidos. Após ativar o DoH, o usuário receberá um aviso que permitirá, se desejar, recusar o contato com servidores DNS centralizados do DoH e retornar ao esquema tradicional de envio de solicitações não criptografadas ao servidor DNS do provedor (em vez de uma infraestrutura distribuída de resolvedores DNS, DoH usa ligação a um serviço DoH específico, que pode ser considerado um ponto único de falha).
Se o DoH estiver ativado, os sistemas de controle parental e as redes corporativas que usam a estrutura de nomes DNS somente de rede interna para resolver endereços de intranet e hosts corporativos poderão ser interrompidos. Para resolver problemas com tais sistemas, foi adicionado um sistema de verificações que desativa automaticamente o DoH. As verificações são realizadas sempre que o navegador é iniciado ou quando uma alteração de sub-rede é detectada.
Um retorno automático ao uso do resolvedor padrão do sistema operacional também é fornecido se ocorrerem falhas durante a resolução via DoH (por exemplo, se a disponibilidade da rede com o provedor DoH for interrompida ou ocorrerem falhas em sua infraestrutura). O significado de tais verificações é questionável, pois ninguém impede que invasores que controlam a operação do resolvedor ou sejam capazes de interferir no tráfego simulem comportamento semelhante para desabilitar a criptografia do tráfego DNS. O problema foi resolvido adicionando o item “DoH sempre” às configurações (silenciosamente inativo), quando definido, o desligamento automático não é aplicado, o que é um compromisso razoável.
Para identificar resolvedores corporativos, domínios de primeiro nível (TLDs) atípicos são verificados e o resolvedor do sistema retorna endereços de intranet. Para determinar se o controle parental está habilitado, é feita uma tentativa de resolver o nome exampleadultsite.com e se o resultado não corresponder ao IP real, considera-se que o bloqueio de conteúdo adulto está ativo no nível DNS. Os endereços IP do Google e do YouTube também são verificados como sinais para ver se foram substituídos por strict.youtube.com, forcesafesearch.google.com e strictmoderate.youtube.com. Mozilla adicional implementar um único host de teste , que os ISPs e serviços de controle parental podem usar como um sinalizador para desativar o DoH (se o host não for detectado, o Firefox desativa o DoH).
Trabalhar através de um único serviço DoH também pode levar a problemas de otimização de tráfego em redes de entrega de conteúdo que equilibram o tráfego usando DNS (o servidor DNS da rede CDN gera uma resposta levando em consideração o endereço do resolvedor e fornece o host mais próximo para receber o conteúdo). O envio de uma consulta DNS do resolvedor mais próximo do usuário em tais CDNs resulta no retorno do endereço do host mais próximo do usuário, mas o envio de uma consulta DNS de um resolvedor centralizado retornará o endereço do host mais próximo do servidor DNS sobre HTTPS . Os testes na prática mostraram que o uso de DNS sobre HTTP ao usar um CDN praticamente não levou a atrasos antes do início da transferência de conteúdo (para conexões rápidas, os atrasos não excederam 10 milissegundos e um desempenho ainda mais rápido foi observado em canais de comunicação lentos ). O uso da extensão EDNS Client Subnet também foi considerado para fornecer informações de localização do cliente ao resolvedor CDN.
Recorde-se que o DoH pode ser útil para prevenir fugas de informação sobre os nomes de anfitrião solicitados através dos servidores DNS dos fornecedores, combater ataques MITM e falsificação de tráfego DNS, combater o bloqueio ao nível do DNS, ou para organizar o trabalho no caso de ser é impossível acessar diretamente os servidores DNS (por exemplo, ao trabalhar através de um proxy). Se em uma situação normal as solicitações DNS são enviadas diretamente aos servidores DNS definidos na configuração do sistema, então no caso do DoH, a solicitação para determinar o endereço IP do host é encapsulada no tráfego HTTPS e enviada ao servidor HTTP, onde o resolvedor processa solicitações por meio da API da Web. O padrão DNSSEC existente utiliza criptografia apenas para autenticar o cliente e o servidor, mas não protege o tráfego contra interceptação e não garante a confidencialidade das solicitações.
Para habilitar o DoH em about:config, você deve alterar o valor da variável network.trr.mode, que é suportada desde o Firefox 60. Um valor 0 desativa o DoH completamente; 1 - Utiliza-se DNS ou DoH, o que for mais rápido; 2 - DoH é usado por padrão e DNS é usado como opção de fallback; 3 - utiliza-se apenas DoH; 4 - modo de espelhamento em que DoH e DNS são usados em paralelo. Por padrão, o servidor DNS CloudFlare é usado, mas pode ser alterado através do parâmetro network.trr.uri, por exemplo, você pode definir “https://dns.google.com/experimental” ou “https://9.9.9.9 .XNUMX/dns-query "
Fonte: opennet.ru