Фирефок Девелоперс
Након активирања ДоХ-а, кориснику се приказује упозорење које омогућава, по жељи, да одбије контактирање централизованих ДоХ ДНС сервера и врати се на традиционалну шему слања нешифрованих упита на ДНС сервер провајдера. Уместо дистрибуиране инфраструктуре ДНС разрешивача, ДоХ користи везивање за одређену ДоХ услугу, што се може сматрати једном тачком неуспеха. Тренутно се рад нуди преко два ДНС провајдера - ЦлоудФларе (подразумевано) и
Промените провајдера или онемогућите ДоХ
Подсетимо се да ДоХ може бити користан за спречавање цурења информација о траженим именима хостова преко ДНС сервера провајдера, сузбијање МИТМ напада и лажирања ДНС саобраћаја (на пример, при повезивању на јавни Ви-Фи), спречавање блокирања на ДНС-у нивоу (ДоХ не може да замени ВПН у области заобилажења блокирања имплементираног на ДПИ нивоу) или за организовање посла ако је немогуће директно приступити ДНС серверима (на пример, када се ради преко проксија). Ако се у нормалној ситуацији ДНС захтеви директно шаљу на ДНС сервере дефинисане у конфигурацији система, онда се у случају ДоХ-а захтев за одређивање ИП адресе хоста инкапсулира у ХТТПС саобраћај и шаље на ХТТП сервер, где разрешивач обрађује захтева преко веб АПИ-ја. Постојећи ДНССЕЦ стандард користи шифровање само за аутентификацију клијента и сервера, али не штити саобраћај од пресретања и не гарантује поверљивост захтева.
Да бисте изабрали ДоХ провајдере који се нуде у Фирефок-у,
ДоХ треба користити са опрезом. На пример, у Руској Федерацији, ИП адресе 104.16.248.249 и 104.16.249.249 повезане са подразумеваним ДоХ сервером мозилла.цлоудфларе-днс.цом понуђеним у Фирефок-у,
ДоХ такође може да изазове проблеме у областима као што су системи родитељске контроле, приступ интерним именским просторима у корпоративним системима, избор рута у системима за оптимизацију испоруке садржаја и поштовање судских налога у области борбе против дистрибуције нелегалног садржаја и експлоатације малолетници. Да би се заобишли такви проблеми, имплементиран је и тестиран систем провере који аутоматски онемогућава ДоХ под одређеним условима.
Да би се идентификовали пословни разрешивачи, проверавају се атипични домени првог нивоа (ТЛД) и системски разрешивач враћа интранет адресе. Да би се утврдило да ли је родитељска контрола омогућена, покушава се разрешити име екамплеадултсите.цом и ако резултат не одговара стварној ИП адреси, сматра се да је блокирање садржаја за одрасле активно на ДНС нивоу. ИП адресе Гоогле-а и ИоуТубе-а се такође проверавају као знакови да би се видело да ли су замењене рестриктивним.иоутубе.цом, форцесафесеарцх.гоогле.цом и лимитедмодерате.иоутубе.цом. Ове провере омогућавају нападачима који контролишу рад резолвера или су способни да ометају саобраћај да симулирају такво понашање како би онемогућили шифровање ДНС саобраћаја.
Рад кроз једну ДоХ услугу такође може потенцијално довести до проблема са оптимизацијом саобраћаја у мрежама за испоруку садржаја које балансирају саобраћај користећи ДНС (ДНС сервер ЦДН мреже генерише одговор узимајући у обзир адресу разрешивача и обезбеђује најближи хост за пријем садржаја). Слање ДНС упита са разрешивача који је најближи кориснику у таквим ЦДН-овима резултира враћањем адресе хоста најближег кориснику, али слање ДНС упита из централизованог разрешивача ће вратити адресу хоста најближу ДНС-овер-ХТТПС серверу . Тестирање у пракси показало је да употреба ДНС-овер-ХТТП-а при коришћењу ЦДН-а практично није довела до кашњења пре почетка преноса садржаја (за брзе везе, кашњења нису прелазила 10 милисекунди, а још брже перформансе су примећене на спорим комуникационим каналима ). Такође је узето у обзир коришћење екстензије ЕДНС клијентске подмреже за пружање информација о локацији клијента ЦДН разрешивачу.
Извор: опеннет.ру