Dezvoltatorii Firefox despre activarea modului DNS prin HTTPS (DoH, DNS peste HTTPS) în mod implicit pentru utilizatorii din SUA. Criptarea traficului DNS este considerată un factor fundamental important în protejarea utilizatorilor. Începând de astăzi, toate instalările noi ale utilizatorilor din SUA vor avea DoH activat în mod implicit. Utilizatorii existenți din SUA sunt programați să fie trecuți la DoH în câteva săptămâni. În Uniunea Europeană și în alte țări, activați DoH în mod implicit pentru moment .
După activarea DoH, utilizatorului i se afișează un avertisment care permite, dacă dorește, să refuze contactarea serverelor DNS DoH centralizate și să revină la schema tradițională de trimitere a interogărilor necriptate către serverul DNS al furnizorului. În loc de o infrastructură distribuită de rezolutori DNS, DoH utilizează o legătură cu un anumit serviciu DoH, care poate fi considerat un singur punct de eșec. În prezent, munca este oferită prin doi furnizori de DNS - CloudFlare (implicit) și .
Schimbați furnizorul sau dezactivați DoH în setările de conexiune la rețea. De exemplu, puteți specifica un server DoH alternativ „https://dns.google/dns-query” pentru a accesa serverele Google, „https://dns.quad9.net/dns-query” - Quad9 și „https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config oferă și setarea network.trr.mode, prin care puteți schimba modul de funcționare DoH: o valoare de 0 dezactivează complet DoH; 1 - Se utilizează DNS sau DoH, oricare dintre acestea este mai rapid; 2 - DoH este utilizat în mod implicit, iar DNS este folosit ca opțiune de rezervă; 3 - se folosește numai DoH; 4 - modul de oglindire în care DoH și DNS sunt utilizate în paralel.
Să reamintim că DoH poate fi util pentru prevenirea scurgerilor de informații despre numele gazdelor solicitate prin serverele DNS ale furnizorilor, combaterea atacurilor MITM și a falsării traficului DNS (de exemplu, la conectarea la Wi-Fi public), contracararea blocării la DNS nivel (DoH nu poate înlocui un VPN în zona ocolirii blocării implementate la nivel DPI) sau pentru organizarea muncii dacă este imposibil să accesați direct serverele DNS (de exemplu, atunci când lucrați printr-un proxy). Dacă într-o situație normală cererile DNS sunt trimise direct către serverele DNS definite în configurația sistemului, atunci în cazul DoH, cererea de determinare a adresei IP a gazdei este încapsulată în traficul HTTPS și trimisă către serverul HTTP, unde rezolutorul procesează solicitări prin intermediul API-ului web. Standardul DNSSEC existent folosește criptarea doar pentru a autentifica clientul și serverul, dar nu protejează traficul de interceptări și nu garantează confidențialitatea solicitărilor.
Pentru a selecta furnizorii DoH oferiți în Firefox, către soluții DNS de încredere, conform cărora operatorul DNS poate folosi datele primite pentru rezoluție doar pentru a asigura funcționarea serviciului, nu trebuie să stocheze jurnalele mai mult de 24 de ore, nu poate transfera date către terți și este obligat să dezvăluie informații despre metode de prelucrare a datelor. De asemenea, serviciul trebuie să accepte să nu cenzureze, să filtreze, să interfereze sau să blocheze traficul DNS, cu excepția situațiilor prevăzute de lege.
DoH trebuie utilizat cu prudență. De exemplu, în Federația Rusă, adresele IP 104.16.248.249 și 104.16.249.249 asociate cu serverul DoH implicit mozilla.cloudflare-dns.com oferit în Firefox, в la cererea Judecătoriei Stavropol din 10.06.2013 iunie XNUMX.
DoH poate cauza, de asemenea, probleme în domenii precum sistemele de control parental, accesul la spațiile de nume interne în sistemele corporative, selecția rutelor în sistemele de optimizare a livrării de conținut și respectarea hotărârilor judecătorești în domeniul combaterii distribuției de conținut ilegal și exploatării acestora. minori. Pentru a evita astfel de probleme, a fost implementat și testat un sistem de verificare care dezactivează automat DoH în anumite condiții.
Pentru a identifica soluții de întreprindere, domeniile de prim nivel (TLD) atipice sunt verificate, iar soluția de sistem returnează adresele intranet. Pentru a determina dacă controalele parentale sunt activate, se încearcă rezolvarea numelui exampleadultsite.com și dacă rezultatul nu se potrivește cu IP-ul real, se consideră că blocarea conținutului pentru adulți este activă la nivel DNS. Adresele IP Google și YouTube sunt, de asemenea, verificate ca semne pentru a vedea dacă au fost înlocuite de restrict.youtube.com, forcesafesearch.google.com și restrictmoderate.youtube.com. Aceste verificări permit atacatorilor care controlează funcționarea rezolutorului sau sunt capabili să interfereze cu traficul să simuleze un astfel de comportament pentru a dezactiva criptarea traficului DNS.
Lucrul printr-un singur serviciu DoH poate duce, de asemenea, la probleme cu optimizarea traficului în rețelele de livrare a conținutului care echilibrează traficul folosind DNS (serverul DNS al rețelei CDN generează un răspuns ținând cont de adresa de rezolvare și oferă cea mai apropiată gazdă pentru a primi conținutul). Trimiterea unei interogări DNS de la solutorul cel mai apropiat de utilizator în astfel de CDN-uri are ca rezultat returnarea adresei gazdei cea mai apropiată de utilizator, dar trimiterea unei interogări DNS de la un resolver centralizat va returna adresa gazdă cea mai apropiată de serverul DNS-over-HTTPS. . Testele în practică au arătat că utilizarea DNS-over-HTTP atunci când se folosește un CDN nu a condus practic la nicio întârziere înainte de începerea transferului de conținut (pentru conexiunile rapide, întârzierile nu depășeau 10 milisecunde și s-au observat performanțe și mai rapide pe canalele de comunicare lente. ). Utilizarea extensiei de subrețea client EDNS a fost, de asemenea, luată în considerare pentru a furniza informații despre locația clientului soluției CDN.
Sursa: opennet.ru