Razvijalci Firefoxa o zaključku testiranja podpore za DNS prek HTTPS (DoH, DNS prek HTTPS) in nameri, da se ta tehnologija privzeto omogoči uporabnikom v ZDA konec septembra. Aktivacija se bo izvajala postopoma, sprva za nekaj odstotkov uporabnikov, če ne bo težav, postopoma do 100 %. Ko bodo ZDA pokrite, bo DoH obravnavan za vključitev v druge države.
Preizkusi, ki so se izvajali skozi vse leto, so pokazali zanesljivost in dobro delovanje storitve, prav tako pa so omogočili prepoznavanje nekaterih situacij, v katerih lahko DoH povzroči težave, in razvoj rešitev za njihovo izogibanje (na primer razstavljen z optimizacijo prometa v omrežjih za dostavo vsebine, starševskim nadzorom in notranjimi conami DNS podjetja).
Pomen šifriranja prometa DNS je ocenjen kot temeljno pomemben dejavnik pri zaščiti uporabnikov, zato je bilo odločeno, da se DoH privzeto omogoči, vendar na prvi stopnji le za uporabnike iz ZDA. Po aktiviranju DoH bo uporabnik prejel opozorilo, ki mu bo po želji omogočilo, da zavrne stik s centraliziranimi strežniki DNS DoH in se vrne k tradicionalni shemi pošiljanja nešifriranih zahtev na strežnik DNS ponudnika (namesto porazdeljene infrastrukture razreševalcev DNS, DoH uporablja vezavo na določeno storitev DoH, ki se lahko šteje za eno samo točko napake).
Če je DoH aktiviran, so lahko moteni sistemi starševskega nadzora in poslovna omrežja, ki za razreševanje intranetnih naslovov in gostiteljev podjetja uporabljajo strukturo imen DNS samo za notranje omrežje. Za reševanje težav s takimi sistemi je bil dodan sistem preverjanj, ki samodejno onemogoči DoH. Preverjanja se izvedejo ob vsakem zagonu brskalnika ali ko je zaznana sprememba podomrežja.
Zagotovljena je tudi samodejna vrnitev k uporabi standardnega razreševalnika operacijskega sistema, če pride do napak med reševanjem prek DoH (na primer, če je razpoložljivost omrežja pri ponudniku DoH motena ali pride do napak v njegovi infrastrukturi). Smisel tovrstnih preverjanj je vprašljiv, saj napadalcem, ki nadzorujejo delovanje razreševalnika ali so sposobni posegati v promet, nihče ne prepreči, da bi s simulacijo podobnega vedenja onemogočili šifriranje prometa DNS. Težavo smo rešili tako, da smo v nastavitve dodali element “DoH vedno” (tiho neaktiven), ko je nastavljen, samodejni izklop ni uporabljen, kar je razumen kompromis.
Za prepoznavanje podjetniških razreševalnikov se preverijo netipične domene prve ravni (TLD) in sistemski razreševalec vrne intranetne naslove. Da bi ugotovili, ali je starševski nadzor omogočen, se poskusi razrešiti ime exampleadultsite.com in če se rezultat ne ujema z dejanskim IP-jem, se šteje, da je blokiranje vsebine za odrasle aktivno na ravni DNS. Googlova in YouTubova naslova IP se prav tako preverjata kot znaka, ali sta bila zamenjana z restrict.youtube.com, forcesafesearch.google.com in restrictmoderate.youtube.com. Dodatna Mozilla implementirajte enega samega testnega gostitelja , ki ga ponudniki internetnih storitev in storitve starševskega nadzora lahko uporabijo kot zastavico za onemogočanje DoH (če gostitelj ni zaznan, Firefox onemogoči DoH).
Delo prek ene same storitve DoH lahko povzroči tudi težave z optimizacijo prometa v omrežjih za dostavo vsebine, ki uravnavajo promet z uporabo DNS (strežnik DNS omrežja CDN ustvari odgovor ob upoštevanju naslova razreševalnika in zagotovi najbližjega gostitelja za sprejem vsebine). Pošiljanje poizvedbe DNS iz razreševalnika, ki je najbližje uporabniku v takšnih CDN-jih, povzroči vrnitev naslova gostitelja, ki je najbližji uporabniku, vendar bo pošiljanje poizvedbe DNS iz centraliziranega razreševalnika vrnilo naslov gostitelja, ki je najbližji strežniku DNS-over-HTTPS. . Testiranje v praksi je pokazalo, da uporaba DNS-over-HTTP pri uporabi CDN praktično ni povzročila zamud pred začetkom prenosa vsebine (pri hitrih povezavah zamude niso presegle 10 milisekund, še hitrejše delovanje pa je bilo opaziti na počasnih komunikacijskih kanalih ). Upoštevana je bila tudi uporaba razširitve odjemalskega podomrežja EDNS za zagotavljanje informacij o lokaciji odjemalca razločevalcu CDN.
Naj spomnimo, da je DoH lahko koristen za preprečevanje uhajanja informacij o zahtevanih imenih gostiteljev prek DNS strežnikov ponudnikov, boj proti napadom MITM in ponarejanjem DNS prometa, preprečevanje blokiranja na ravni DNS ali za organizacijo dela v primeru, da je nemogoče neposredno dostopati do strežnikov DNS (na primer pri delu prek proxyja). Če so v običajni situaciji zahteve DNS neposredno poslane strežnikom DNS, definiranim v sistemski konfiguraciji, potem je v primeru DoH zahteva za določitev naslova IP gostitelja enkapsulirana v promet HTTPS in poslana strežniku HTTP, kjer razreševalec obdela zahteve prek spletnega API-ja. Obstoječi standard DNSSEC uporablja šifriranje samo za avtentikacijo odjemalca in strežnika, vendar ne ščiti prometa pred prestrezanjem in ne zagotavlja zaupnosti zahtev.
Če želite omogočiti DoH v about:config, morate spremeniti vrednost spremenljivke network.trr.mode, ki je podprta od Firefoxa 60. Vrednost 0 popolnoma onemogoči DoH; 1 - uporablja se DNS ali DoH, kar je hitrejše; 2 – DoH se uporablja privzeto, DNS pa se uporablja kot nadomestna možnost; 3 - uporablja se samo DoH; 4 - način zrcaljenja, v katerem se DoH in DNS uporabljata vzporedno. Privzeto se uporablja strežnik DNS CloudFlare, vendar ga je mogoče spremeniti prek parametra network.trr.uri, na primer lahko nastavite »https://dns.google.com/experimental« ali »https://9.9.9.9 .XNUMX/dns-poizvedba "
Vir: opennet.ru