Dezvoltatorii Firefox despre finalizarea testării suportului pentru DNS prin HTTPS (DoH, DNS over HTTPS) și intenția de a activa această tehnologie în mod implicit pentru utilizatorii din SUA la sfârșitul lunii septembrie. Activarea se va efectua progresiv, inițial pentru câteva procente dintre utilizatori, iar dacă nu sunt probleme, crescând treptat până la 100%. Odată ce SUA este acoperită, DoH va fi luată în considerare pentru includerea în alte țări.
Testele efectuate pe tot parcursul anului au arătat fiabilitatea și performanța bună a serviciului și, de asemenea, au făcut posibilă identificarea unor situații în care DoH poate duce la probleme și elaborarea de soluții pentru eludarea acestora (de exemplu, dezasamblate). cu optimizarea traficului în rețelele de livrare de conținut, control parental și zone DNS interne ale corporației).
Importanța criptării traficului DNS este evaluată ca un factor fundamental important în protejarea utilizatorilor, așa că s-a decis să se activeze DoH în mod implicit, dar în prima etapă doar pentru utilizatorii din Statele Unite. După activarea DoH, utilizatorul va primi un avertisment care va permite, dacă se dorește, să refuze contactarea serverelor DNS DoH centralizate și să revină la schema tradițională de trimitere a cererilor necriptate către serverul DNS al furnizorului (în loc de o infrastructură distribuită de solutoare DNS, DoH folosește legarea la un anumit serviciu DoH, care poate fi considerat un singur punct de eșec).
Dacă DoH este activat, sistemele de control parental și rețelele corporative care utilizează structura de nume DNS numai pentru rețea internă pentru a rezolva adresele intranet și gazdele corporative pot fi perturbate. Pentru a rezolva problemele cu astfel de sisteme, a fost adăugat un sistem de verificări care dezactivează automat DoH. Verificările sunt efectuate de fiecare dată când browserul este lansat sau când este detectată o modificare a subrețelei.
O revenire automată la utilizarea soluției standard a sistemului de operare este, de asemenea, furnizată dacă apar erori în timpul rezoluției prin DoH (de exemplu, dacă disponibilitatea rețelei cu furnizorul DoH este întreruptă sau apar erori în infrastructura acestuia). Semnificația unor astfel de verificări este discutabilă, deoarece nimeni nu îi împiedică pe atacatorii care controlează funcționarea rezolutorului sau sunt capabili să interfereze cu traficul să simuleze un comportament similar pentru a dezactiva criptarea traficului DNS. Problema a fost rezolvată prin adăugarea elementului „DoH întotdeauna” la setări (în tăcere inactiv), atunci când este setată, oprirea automată nu este aplicată, ceea ce este un compromis rezonabil.
Pentru a identifica soluții de întreprindere, domeniile de prim nivel (TLD) atipice sunt verificate, iar soluția de sistem returnează adresele intranet. Pentru a determina dacă controalele parentale sunt activate, se încearcă rezolvarea numelui exampleadultsite.com și dacă rezultatul nu se potrivește cu IP-ul real, se consideră că blocarea conținutului pentru adulți este activă la nivel DNS. Adresele IP Google și YouTube sunt, de asemenea, verificate ca semne pentru a vedea dacă au fost înlocuite de restrict.youtube.com, forcesafesearch.google.com și restrictmoderate.youtube.com. Mozilla suplimentar implementați o singură gazdă de testare , pe care ISP-urile și serviciile de control parental îl pot folosi ca semnal pentru a dezactiva DoH (dacă gazda nu este detectată, Firefox dezactivează DoH).
Lucrul printr-un singur serviciu DoH poate duce, de asemenea, la probleme cu optimizarea traficului în rețelele de livrare a conținutului care echilibrează traficul folosind DNS (serverul DNS al rețelei CDN generează un răspuns ținând cont de adresa de rezolvare și oferă cea mai apropiată gazdă pentru a primi conținutul). Trimiterea unei interogări DNS de la solutorul cel mai apropiat de utilizator în astfel de CDN-uri are ca rezultat returnarea adresei gazdei cea mai apropiată de utilizator, dar trimiterea unei interogări DNS de la un resolver centralizat va returna adresa gazdă cea mai apropiată de serverul DNS-over-HTTPS. . Testele în practică au arătat că utilizarea DNS-over-HTTP atunci când se folosește un CDN nu a condus practic la nicio întârziere înainte de începerea transferului de conținut (pentru conexiunile rapide, întârzierile nu depășeau 10 milisecunde și s-au observat performanțe și mai rapide pe canalele de comunicare lente. ). Utilizarea extensiei de subrețea client EDNS a fost, de asemenea, luată în considerare pentru a furniza informații despre locația clientului soluției CDN.
Să reamintim că DoH poate fi util pentru prevenirea scurgerilor de informații despre numele gazdelor solicitate prin serverele DNS ale furnizorilor, combaterea atacurilor MITM și spoofing-ul traficului DNS, contracararea blocării la nivel DNS sau pentru organizarea muncii în cazul în care acesta este imposibil să accesați direct serverele DNS (de exemplu, când lucrați printr-un proxy). Dacă într-o situație normală cererile DNS sunt trimise direct către serverele DNS definite în configurația sistemului, atunci în cazul DoH, cererea de determinare a adresei IP a gazdei este încapsulată în traficul HTTPS și trimisă către serverul HTTP, unde rezolutorul procesează solicitări prin intermediul API-ului web. Standardul DNSSEC existent folosește criptarea doar pentru a autentifica clientul și serverul, dar nu protejează traficul de interceptări și nu garantează confidențialitatea solicitărilor.
Pentru a activa DoH în about:config, trebuie să modificați valoarea variabilei network.trr.mode, care este acceptată începând cu Firefox 60. O valoare de 0 dezactivează complet DoH; 1 - Se utilizează DNS sau DoH, oricare dintre acestea este mai rapid; 2 - DoH este utilizat în mod implicit, iar DNS este folosit ca opțiune de rezervă; 3 - se folosește numai DoH; 4 - modul de oglindire în care DoH și DNS sunt utilizate în paralel. În mod implicit, este utilizat serverul DNS CloudFlare, dar acesta poate fi modificat prin parametrul network.trr.uri, de exemplu, puteți seta „https://dns.google.com/experimental” sau „https://9.9.9.9 .XNUMX/dns-query "
Sursa: opennet.ru