Фирефок Девелоперс о подразумеваном омогућавању режима ДНС преко ХТТПС (ДоХ, ДНС преко ХТТПС) за кориснике у САД. Шифровање ДНС саобраћаја сматра се суштински важним фактором у заштити корисника. Од данас, све нове инсталације америчких корисника имаће подразумевано омогућен ДоХ. Предвиђено је да постојећи корисници у САД пређу на ДоХ у року од неколико недеља. У Европској унији и другим земљама за сада подразумевано активирајте ДоХ .
Након активирања ДоХ-а, кориснику се приказује упозорење које омогућава, по жељи, да одбије контактирање централизованих ДоХ ДНС сервера и врати се на традиционалну шему слања нешифрованих упита на ДНС сервер провајдера. Уместо дистрибуиране инфраструктуре ДНС разрешивача, ДоХ користи везивање за одређену ДоХ услугу, што се може сматрати једном тачком неуспеха. Тренутно се рад нуди преко два ДНС провајдера - ЦлоудФларе (подразумевано) и .
Промените провајдера или онемогућите ДоХ у подешавањима мрежне везе. На пример, можете да наведете алтернативни ДоХ сервер „хттпс://днс.гоогле/днс-куери“ за приступ Гоогле серверима, „хттпс://днс.куад9.нет/днс-куери“ - Куад9 и „хттпс:// /дох .опенднс.цом/днс-куери" - ОпенДНС. Абоут:цонфиг такође обезбеђује поставку нетворк.трр.моде, преко које можете променити ДоХ режим рада: вредност 0 потпуно онемогућава ДоХ; 1 - користи се ДНС или ДоХ, шта год је брже; 2 – ДоХ се користи подразумевано, а ДНС се користи као резервна опција; 3 - користи се само ДоХ; 4 - режим пресликавања у коме се ДоХ и ДНС користе паралелно.
Подсетимо се да ДоХ може бити користан за спречавање цурења информација о траженим именима хостова преко ДНС сервера провајдера, сузбијање МИТМ напада и лажирања ДНС саобраћаја (на пример, при повезивању на јавни Ви-Фи), спречавање блокирања на ДНС-у нивоу (ДоХ не може да замени ВПН у области заобилажења блокирања имплементираног на ДПИ нивоу) или за организовање посла ако је немогуће директно приступити ДНС серверима (на пример, када се ради преко проксија). Ако се у нормалној ситуацији ДНС захтеви директно шаљу на ДНС сервере дефинисане у конфигурацији система, онда се у случају ДоХ-а захтев за одређивање ИП адресе хоста инкапсулира у ХТТПС саобраћај и шаље на ХТТП сервер, где разрешивач обрађује захтева преко веб АПИ-ја. Постојећи ДНССЕЦ стандард користи шифровање само за аутентификацију клијента и сервера, али не штити саобраћај од пресретања и не гарантује поверљивост захтева.
Да бисте изабрали ДоХ провајдере који се нуде у Фирефок-у, поузданим ДНС разређивачима, према којима ДНС оператер може користити податке примљене за решавање само да би обезбедио рад сервиса, не сме да чува евиденције дуже од 24 сата, не може преносити податке трећим лицима и дужан је да открије информације о методе обраде података. Услуга такође мора пристати да неће цензурисати, филтрирати, ометати или блокирати ДНС саобраћај, осим у ситуацијама предвиђеним законом.
ДоХ треба користити са опрезом. На пример, у Руској Федерацији, ИП адресе 104.16.248.249 и 104.16.249.249 повезане са подразумеваним ДоХ сервером мозилла.цлоудфларе-днс.цом понуђеним у Фирефок-у, в по захтеву Ставропољског суда од 10.06.2013.
ДоХ такође може да изазове проблеме у областима као што су системи родитељске контроле, приступ интерним именским просторима у корпоративним системима, избор рута у системима за оптимизацију испоруке садржаја и поштовање судских налога у области борбе против дистрибуције нелегалног садржаја и експлоатације малолетници. Да би се заобишли такви проблеми, имплементиран је и тестиран систем провере који аутоматски онемогућава ДоХ под одређеним условима.
Да би се идентификовали пословни разрешивачи, проверавају се атипични домени првог нивоа (ТЛД) и системски разрешивач враћа интранет адресе. Да би се утврдило да ли је родитељска контрола омогућена, покушава се разрешити име екамплеадултсите.цом и ако резултат не одговара стварној ИП адреси, сматра се да је блокирање садржаја за одрасле активно на ДНС нивоу. ИП адресе Гоогле-а и ИоуТубе-а се такође проверавају као знакови да би се видело да ли су замењене рестриктивним.иоутубе.цом, форцесафесеарцх.гоогле.цом и лимитедмодерате.иоутубе.цом. Ове провере омогућавају нападачима који контролишу рад резолвера или су способни да ометају саобраћај да симулирају такво понашање како би онемогућили шифровање ДНС саобраћаја.
Рад кроз једну ДоХ услугу такође може потенцијално довести до проблема са оптимизацијом саобраћаја у мрежама за испоруку садржаја које балансирају саобраћај користећи ДНС (ДНС сервер ЦДН мреже генерише одговор узимајући у обзир адресу разрешивача и обезбеђује најближи хост за пријем садржаја). Слање ДНС упита са разрешивача који је најближи кориснику у таквим ЦДН-овима резултира враћањем адресе хоста најближег кориснику, али слање ДНС упита из централизованог разрешивача ће вратити адресу хоста најближу ДНС-овер-ХТТПС серверу . Тестирање у пракси показало је да употреба ДНС-овер-ХТТП-а при коришћењу ЦДН-а практично није довела до кашњења пре почетка преноса садржаја (за брзе везе, кашњења нису прелазила 10 милисекунди, а још брже перформансе су примећене на спорим комуникационим каналима ). Такође је узето у обзир коришћење екстензије ЕДНС клијентске подмреже за пружање информација о локацији клијента ЦДН разрешивачу.
Извор: опеннет.ру