Razvijalci Firefoxa o privzetem omogočanju načina DNS prek HTTPS (DoH, DNS prek HTTPS) za uporabnike v ZDA. Šifriranje prometa DNS velja za temeljno pomemben dejavnik pri zaščiti uporabnikov. Od danes bodo vse nove namestitve uporabnikov iz ZDA imele privzeto omogočeno DoH. Obstoječi uporabniki v ZDA naj bi v nekaj tednih prešli na DoH. V Evropski uniji in drugih državah za zdaj privzeto aktivirajte DoH .
Po aktiviranju DoH se uporabniku prikaže opozorilo, ki omogoča, da po želji zavrne stik s centraliziranimi strežniki DNS DoH in se vrne na tradicionalno shemo pošiljanja nešifriranih poizvedb na strežnik DNS ponudnika. Namesto porazdeljene infrastrukture razreševalcev DNS DoH uporablja vezavo na določeno storitev DoH, ki se lahko šteje za eno samo točko napake. Trenutno je delo na voljo prek dveh ponudnikov DNS - CloudFlare (privzeto) in .
Zamenjajte ponudnika ali onemogočite DoH v nastavitvah omrežne povezave. Določite lahko na primer alternativni strežnik DoH »https://dns.google/dns-query« za dostop do Googlovih strežnikov, »https://dns.quad9.net/dns-query« - Quad9 in »https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config ponuja tudi nastavitev network.trr.mode, prek katere lahko spremenite način delovanja DoH: vrednost 0 popolnoma onemogoči DoH; 1 - uporablja se DNS ali DoH, kar je hitrejše; 2 – DoH se uporablja privzeto, DNS pa se uporablja kot nadomestna možnost; 3 - uporablja se samo DoH; 4 - način zrcaljenja, v katerem se DoH in DNS uporabljata vzporedno.
Spomnimo se, da je DoH lahko koristen za preprečevanje uhajanja informacij o zahtevanih imenih gostiteljev prek strežnikov DNS ponudnikov, boj proti napadom MITM in ponarejanje prometa DNS (na primer pri povezovanju z javnim Wi-Fi), preprečevanje blokiranja na DNS ravni (DoH ne more nadomestiti VPN na področju obhoda blokiranja, ki se izvaja na ravni DPI) ali za organizacijo dela, če ni mogoče neposredno dostopati do strežnikov DNS (na primer pri delu prek proxyja). Če so v običajni situaciji zahteve DNS neposredno poslane strežnikom DNS, definiranim v sistemski konfiguraciji, potem je v primeru DoH zahteva za določitev naslova IP gostitelja enkapsulirana v promet HTTPS in poslana strežniku HTTP, kjer razreševalec obdela zahteve prek spletnega API-ja. Obstoječi standard DNSSEC uporablja šifriranje samo za avtentikacijo odjemalca in strežnika, vendar ne ščiti prometa pred prestrezanjem in ne zagotavlja zaupnosti zahtev.
Če želite izbrati ponudnike DoH, ki so na voljo v Firefoxu, zaupanja vrednim razreševalcem DNS, po katerem lahko operater DNS prejete podatke uporabi za razrešitev le za zagotavljanje delovanja storitve, ne sme hraniti dnevnikov več kot 24 ur, ne more prenašati podatkov tretjim osebam in je dolžan razkriti informacije o metode obdelave podatkov. Storitev se mora tudi strinjati, da ne bo cenzurirala, filtrirala, motila ali blokirala prometa DNS, razen v primerih, ki jih določa zakon.
DoH je treba uporabljati previdno. V Ruski federaciji sta na primer naslova IP 104.16.248.249 in 104.16.249.249 povezana s privzetim strežnikom DoH mozilla.cloudflare-dns.com, ki je na voljo v Firefoxu, в na zahtevo stavropolskega sodišča z dne 10.06.2013.
DoH lahko povzroči težave tudi na področjih, kot so sistemi starševskega nadzora, dostop do notranjih imenskih prostorov v sistemih podjetja, izbira poti v sistemih za optimizacijo dostave vsebine in skladnost s sodnimi nalogami na področju boja proti distribuciji nezakonitih vsebin in izkoriščanju mladoletniki. Da bi se izognili takšnim težavam, je bil implementiran in preizkušen sistem preverjanja, ki pod določenimi pogoji samodejno onemogoči DoH.
Za prepoznavanje podjetniških razreševalnikov se preverijo netipične domene prve ravni (TLD) in sistemski razreševalec vrne intranetne naslove. Da bi ugotovili, ali je starševski nadzor omogočen, se poskusi razrešiti ime exampleadultsite.com in če se rezultat ne ujema z dejanskim IP-jem, se šteje, da je blokiranje vsebine za odrasle aktivno na ravni DNS. Googlova in YouTubova naslova IP se prav tako preverjata kot znaka, ali sta bila zamenjana z restrict.youtube.com, forcesafesearch.google.com in restrictmoderate.youtube.com. Ta preverjanja omogočajo napadalcem, ki nadzorujejo delovanje razreševalnika ali so sposobni posegati v promet, da simulirajo takšno vedenje in onemogočijo šifriranje prometa DNS.
Delo prek ene same storitve DoH lahko povzroči tudi težave z optimizacijo prometa v omrežjih za dostavo vsebine, ki uravnavajo promet z uporabo DNS (strežnik DNS omrežja CDN ustvari odgovor ob upoštevanju naslova razreševalnika in zagotovi najbližjega gostitelja za sprejem vsebine). Pošiljanje poizvedbe DNS iz razreševalnika, ki je najbližje uporabniku v takšnih CDN-jih, povzroči vrnitev naslova gostitelja, ki je najbližji uporabniku, vendar bo pošiljanje poizvedbe DNS iz centraliziranega razreševalnika vrnilo naslov gostitelja, ki je najbližji strežniku DNS-over-HTTPS. . Testiranje v praksi je pokazalo, da uporaba DNS-over-HTTP pri uporabi CDN praktično ni povzročila zamud pred začetkom prenosa vsebine (pri hitrih povezavah zamude niso presegle 10 milisekund, še hitrejše delovanje pa je bilo opaziti na počasnih komunikacijskih kanalih ). Upoštevana je bila tudi uporaba razširitve odjemalskega podomrežja EDNS za zagotavljanje informacij o lokaciji odjemalca razločevalcu CDN.
Vir: opennet.ru