Vývojári Firefoxu
Po aktivácii DoH sa používateľovi zobrazí varovanie, ktoré v prípade potreby umožňuje odmietnuť kontaktovať centralizované servery DNS DoH a vrátiť sa k tradičnej schéme odosielania nešifrovaných dopytov na server DNS poskytovateľa. Namiesto distribuovanej infraštruktúry DNS resolverov využíva DoH väzbu na konkrétnu službu DoH, ktorú možno považovať za jediný bod zlyhania. V súčasnosti je práca ponúkaná prostredníctvom dvoch poskytovateľov DNS - CloudFlare (predvolené) a
Zmeňte poskytovateľa alebo zakážte DoH
Pripomeňme si, že DoH môže byť užitočné na zabránenie úniku informácií o požadovaných názvoch hostiteľov cez servery DNS poskytovateľov, na boj proti útokom MITM a spoofingu DNS prevádzky (napríklad pri pripájaní k verejnej sieti Wi-Fi), proti blokovaniu na DNS. úroveň (DoH nemôže nahradiť VPN v oblasti obchádzania blokovania implementovaného na úrovni DPI) alebo na organizovanie práce, ak nie je možné priamo pristupovať k serverom DNS (napríklad pri práci cez proxy). Ak sa v normálnej situácii požiadavky DNS odosielajú priamo na servery DNS definované v konfigurácii systému, potom v prípade DoH je požiadavka na určenie adresy IP hostiteľa zapuzdrená v prenose HTTPS a odoslaná na server HTTP, kde prekladač spracuje žiadosti cez webové rozhranie API. Existujúci štandard DNSSEC používa šifrovanie iba na autentifikáciu klienta a servera, ale nechráni prevádzku pred zachytením a nezaručuje dôvernosť požiadaviek.
Ak chcete vybrať poskytovateľov DoH ponúkaných vo Firefoxe,
DoH by sa malo používať opatrne. Napríklad v Ruskej federácii IP adresy 104.16.248.249 a 104.16.249.249 spojené s predvoleným serverom DoH mozilla.cloudflare-dns.com ponúkaným vo Firefoxe,
DoH môže spôsobiť problémy aj v oblastiach, ako sú systémy rodičovskej kontroly, prístup k interným menným priestorom v podnikových systémoch, výber trasy v systémoch optimalizácie doručovania obsahu a dodržiavanie súdnych príkazov v oblasti boja proti šíreniu nelegálneho obsahu a zneužívaniu maloletí. Aby sa predišlo takýmto problémom, bol zavedený a testovaný kontrolný systém, ktorý za určitých podmienok automaticky deaktivuje DoH.
Na identifikáciu podnikových prekladačov sa kontrolujú atypické domény prvej úrovne (TLD) a systémový prekladač vracia intranetové adresy. Ak chcete zistiť, či je povolená rodičovská kontrola, vykoná sa pokus o rozpoznanie názvu exampleadultsite.com a ak výsledok nezodpovedá skutočnej adrese IP, považuje sa blokovanie obsahu pre dospelých na úrovni DNS za aktívne. IP adresy Google a YouTube sa tiež kontrolujú ako znaky, aby sa zistilo, či neboli nahradené adresami limited.youtube.com, Forcesafesearch.google.com astrictmoderate.youtube.com. Tieto kontroly umožňujú útočníkom, ktorí kontrolujú činnosť prekladača alebo sú schopní zasahovať do prevádzky, simulovať takéto správanie, aby zakázali šifrovanie prenosu DNS.
Práca prostredníctvom jedinej služby DoH môže tiež potenciálne viesť k problémom s optimalizáciou prevádzky v sieťach na doručovanie obsahu, ktoré vyrovnávajú návštevnosť pomocou DNS (server DNS siete CDN generuje odpoveď zohľadňujúcu adresu prekladača a poskytuje najbližšiemu hostiteľovi na príjem obsahu). Odoslanie dotazu DNS z prekladača najbližšie k používateľovi v takýchto CDN má za následok vrátenie adresy hostiteľa najbližšie k používateľovi, ale odoslanie dotazu DNS z centralizovaného prekladača vráti adresu hostiteľa najbližšie k serveru DNS-over-HTTPS . Testovanie v praxi ukázalo, že použitie DNS-over-HTTP pri použití CDN neviedlo prakticky k žiadnym oneskoreniam pred začiatkom prenosu obsahu (pri rýchlych pripojeniach oneskorenia nepresiahli 10 milisekúnd a na pomalých komunikačných kanáloch bol pozorovaný ešte rýchlejší výkon ). Uvažovalo sa aj o použití rozšírenia EDNS Client Subnet na poskytnutie informácií o polohe klienta do CDN resolveru.
Zdroj: opennet.ru