Firefox-utvecklare om att aktivera DNS över HTTPS (DoH, DNS över HTTPS) läge som standard för amerikanska användare. Kryptering av DNS-trafik anses vara en fundamentalt viktig faktor för att skydda användarna. Från och med idag kommer alla nya installationer av amerikanska användare att ha DoH aktiverat som standard. Befintliga amerikanska användare är planerade att bytas till DoH inom några veckor. I EU och andra länder, aktivera DoH som standard för tillfället .
Efter aktivering av DoH visas en varning för användaren, som om så önskas tillåter att vägra kontakta centraliserade DoH DNS-servrar och återgå till det traditionella schemat att skicka okrypterade frågor till leverantörens DNS-server. Istället för en distribuerad infrastruktur av DNS-upplösare använder DoH en bindning till en specifik DoH-tjänst, som kan betraktas som en enda felpunkt. För närvarande erbjuds arbete genom två DNS-leverantörer - CloudFlare (standard) och .
Byt leverantör eller inaktivera DoH i nätverksanslutningsinställningarna. Du kan till exempel ange en alternativ DoH-server "https://dns.google/dns-query" för åtkomst till Googles servrar, "https://dns.quad9.net/dns-query" - Quad9 och "https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config tillhandahåller också inställningen network.trr.mode, genom vilken du kan ändra DoH-driftsläget: ett värde på 0 inaktiverar DoH helt; 1 - DNS eller DoH används, beroende på vilket som är snabbast; 2 - DoH används som standard, och DNS används som ett reservalternativ; 3 - endast DoH används; 4 - speglingsläge där DoH och DNS används parallellt.
Kom ihåg att DoH kan vara användbart för att förhindra läckor av information om begärda värdnamn genom leverantörers DNS-servrar, bekämpa MITM-attacker och DNS-trafikspoofing (till exempel vid anslutning till offentligt Wi-Fi), motverka blockering på DNS-nivå (DoH) kan inte ersätta VPN när det gäller att kringgå blockering implementerad på DPI-nivå) eller för att organisera arbete i fall det är omöjligt att få direkt åtkomst till DNS-servrar (till exempel när du arbetar via en proxy). Medan DNS-förfrågningar normalt skickas direkt till DNS-servrarna som definieras i systemkonfigurationen, i fallet med DoH, är begäran om att fastställa värd-IP-adressen inkapslad i HTTPS-trafik och skickas till HTTP-servern, på vilken resolvern behandlar förfrågningar via webb-API. Den nuvarande DNSSEC-standarden använder kryptering endast för att autentisera klienten och servern, men skyddar inte trafik från avlyssning och garanterar inte konfidentialitet för förfrågningar.
För att välja de DoH-leverantörer som erbjuds i Firefox, till pålitliga DNS-resolvers, enligt vilka DNS-operatören kan använda mottagna data för att lösa endast för att säkerställa driften av tjänsten, inte får lagra loggar i mer än 24 timmar, inte kan överföra data till tredje part och är skyldig att lämna ut information om databehandlingsmetoder. Tjänsten måste också förbinda sig att inte censurera, filtrera, störa eller blockera DNS-trafik, förutom vad som krävs enligt lag.
DoH bör användas med försiktighet. Till exempel, i Ryska federationen, IP-adresserna 104.16.248.249 och 104.16.249.249 associerade med standard DoH-servern mozilla.cloudflare-dns.com som erbjuds i Firefox, в på begäran av domstolen i Stavropol den 10.06.2013 juni XNUMX.
DoH kan också orsaka problem inom områden som föräldrakontrollsystem, tillgång till interna namnutrymmen i företagssystem, vägval i optimeringssystem för innehållsleverans och efterlevnad av domstolsbeslut inom området för att bekämpa distribution av olagligt innehåll och utnyttjande av minderåriga. För att kringgå sådana problem har ett kontrollsystem implementerats och testats som automatiskt inaktiverar DoH under vissa förutsättningar.
För att identifiera företagslösare kontrolleras atypiska förstanivådomäner (TLD) och systemlösaren returnerar intranätadresser. För att avgöra om föräldrakontroller är aktiverade görs ett försök att lösa namnet exampleadultsite.com och om resultatet inte stämmer överens med den faktiska IP-adressen, anses blockering av vuxet innehåll är aktiv på DNS-nivå. Google och YouTubes IP-adresser kontrolleras också som tecken för att se om de har ersatts av restrict.youtube.com, forcesafesearch.google.com och restrictmoderate.youtube.com. Dessa kontroller tillåter angripare som kontrollerar resolverns funktion eller som kan störa trafiken att simulera sådant beteende för att inaktivera kryptering av DNS-trafik.
Att arbeta genom en enda DoH-tjänst kan också potentiellt leda till problem med trafikoptimering i innehållsleveransnätverk som balanserar trafik med hjälp av DNS (CDN-nätverkets DNS-server genererar ett svar som tar hänsyn till resolveradressen och tillhandahåller den närmaste värd för att ta emot innehållet). Att skicka en DNS-fråga från den resolver som är närmast användaren i sådana CDN resulterar i att adressen till värden som är närmast användaren returneras, men att skicka en DNS-fråga från en centraliserad resolver returnerar värdadressen närmast DNS-over-HTTPS-servern . Tester i praktiken visade att användningen av DNS-over-HTTP vid användning av ett CDN ledde till praktiskt taget inga förseningar före starten av innehållsöverföringen (för snabba anslutningar översteg fördröjningarna inte 10 millisekunder, och ännu snabbare prestanda observerades på långsamma kommunikationskanaler ). Användningen av EDNS Client Subnet-tillägget ansågs också tillhandahålla klientplatsinformation till CDN-resolvern.
Källa: opennet.ru