Vývojári Firefoxu o štandardnom povolení režimu DNS cez HTTPS (DoH, DNS over HTTPS) pre používateľov v USA. Šifrovanie prevádzky DNS sa považuje za zásadne dôležitý faktor ochrany používateľov. Od dnešného dňa budú mať všetky nové inštalácie používateľov v USA predvolene povolené DoH. Existujúci používatelia v USA by mali prejsť na DoH v priebehu niekoľkých týždňov. V Európskej únii a ďalších krajinách si DoH zatiaľ predvolene aktivujte .
Po aktivácii DoH sa používateľovi zobrazí varovanie, ktoré v prípade potreby umožňuje odmietnuť kontaktovať centralizované servery DNS DoH a vrátiť sa k tradičnej schéme odosielania nešifrovaných dopytov na server DNS poskytovateľa. Namiesto distribuovanej infraštruktúry DNS resolverov využíva DoH väzbu na konkrétnu službu DoH, ktorú možno považovať za jediný bod zlyhania. V súčasnosti je práca ponúkaná prostredníctvom dvoch poskytovateľov DNS - CloudFlare (predvolené) a .
Zmeňte poskytovateľa alebo zakážte DoH v nastaveniach sieťového pripojenia. Môžete napríklad zadať alternatívny server DoH „https://dns.google/dns-query“ na prístup k serverom Google, „https://dns.quad9.net/dns-query“ – Quad9 a „https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config poskytuje aj nastavenie network.trr.mode, prostredníctvom ktorého môžete zmeniť prevádzkový režim DoH: hodnota 0 úplne vypne režim DoH; 1 - používa sa DNS alebo DoH, podľa toho, čo je rýchlejšie; 2 - Predvolene sa používa DoH a ako záložná možnosť sa používa DNS; 3 - používa sa iba DoH; 4 - režim zrkadlenia, v ktorom sa paralelne používajú DoH a DNS.
Pripomeňme si, že DoH môže byť užitočné na zabránenie úniku informácií o požadovaných názvoch hostiteľov cez servery DNS poskytovateľov, na boj proti útokom MITM a spoofingu DNS prevádzky (napríklad pri pripájaní k verejnej sieti Wi-Fi), proti blokovaniu na DNS. úroveň (DoH nemôže nahradiť VPN v oblasti obchádzania blokovania implementovaného na úrovni DPI) alebo na organizovanie práce, ak nie je možné priamo pristupovať k serverom DNS (napríklad pri práci cez proxy). Ak sa v normálnej situácii požiadavky DNS odosielajú priamo na servery DNS definované v konfigurácii systému, potom v prípade DoH je požiadavka na určenie adresy IP hostiteľa zapuzdrená v prenose HTTPS a odoslaná na server HTTP, kde prekladač spracuje žiadosti cez webové rozhranie API. Existujúci štandard DNSSEC používa šifrovanie iba na autentifikáciu klienta a servera, ale nechráni prevádzku pred zachytením a nezaručuje dôvernosť požiadaviek.
Ak chcete vybrať poskytovateľov DoH ponúkaných vo Firefoxe, dôveryhodným DNS resolverom, podľa ktorého môže prevádzkovateľ DNS získané údaje použiť na rozlíšenie len na zabezpečenie prevádzky služby, nesmie uchovávať protokoly dlhšie ako 24 hodín, nemôže prenášať údaje tretím stranám a je povinný zverejniť informácie o metódy spracovania údajov. Služba musí tiež súhlasiť s tým, že nebude cenzurovať, filtrovať, rušiť alebo blokovať prenos DNS, s výnimkou situácií stanovených zákonom.
DoH by sa malo používať opatrne. Napríklad v Ruskej federácii IP adresy 104.16.248.249 a 104.16.249.249 spojené s predvoleným serverom DoH mozilla.cloudflare-dns.com ponúkaným vo Firefoxe, в na žiadosť súdu Stavropol zo dňa 10.06.2013.
DoH môže spôsobiť problémy aj v oblastiach, ako sú systémy rodičovskej kontroly, prístup k interným menným priestorom v podnikových systémoch, výber trasy v systémoch optimalizácie doručovania obsahu a dodržiavanie súdnych príkazov v oblasti boja proti šíreniu nelegálneho obsahu a zneužívaniu maloletí. Aby sa predišlo takýmto problémom, bol zavedený a testovaný kontrolný systém, ktorý za určitých podmienok automaticky deaktivuje DoH.
Na identifikáciu podnikových prekladačov sa kontrolujú atypické domény prvej úrovne (TLD) a systémový prekladač vracia intranetové adresy. Ak chcete zistiť, či je povolená rodičovská kontrola, vykoná sa pokus o rozpoznanie názvu exampleadultsite.com a ak výsledok nezodpovedá skutočnej adrese IP, považuje sa blokovanie obsahu pre dospelých na úrovni DNS za aktívne. IP adresy Google a YouTube sa tiež kontrolujú ako znaky, aby sa zistilo, či neboli nahradené adresami limited.youtube.com, Forcesafesearch.google.com astrictmoderate.youtube.com. Tieto kontroly umožňujú útočníkom, ktorí kontrolujú činnosť prekladača alebo sú schopní zasahovať do prevádzky, simulovať takéto správanie, aby zakázali šifrovanie prenosu DNS.
Práca prostredníctvom jedinej služby DoH môže tiež potenciálne viesť k problémom s optimalizáciou prevádzky v sieťach na doručovanie obsahu, ktoré vyrovnávajú návštevnosť pomocou DNS (server DNS siete CDN generuje odpoveď zohľadňujúcu adresu prekladača a poskytuje najbližšiemu hostiteľovi na príjem obsahu). Odoslanie dotazu DNS z prekladača najbližšie k používateľovi v takýchto CDN má za následok vrátenie adresy hostiteľa najbližšie k používateľovi, ale odoslanie dotazu DNS z centralizovaného prekladača vráti adresu hostiteľa najbližšie k serveru DNS-over-HTTPS . Testovanie v praxi ukázalo, že použitie DNS-over-HTTP pri použití CDN neviedlo prakticky k žiadnym oneskoreniam pred začiatkom prenosu obsahu (pri rýchlych pripojeniach oneskorenia nepresiahli 10 milisekúnd a na pomalých komunikačných kanáloch bol pozorovaný ešte rýchlejší výkon ). Uvažovalo sa aj o použití rozšírenia EDNS Client Subnet na poskytnutie informácií o polohe klienta do CDN resolveru.
Zdroj: opennet.ru