Firefox-utvecklare
Efter aktivering av DoH visas en varning för användaren, som om så önskas tillåter att vägra kontakta centraliserade DoH DNS-servrar och återgå till det traditionella schemat att skicka okrypterade frågor till leverantörens DNS-server. Istället för en distribuerad infrastruktur av DNS-upplösare använder DoH en bindning till en specifik DoH-tjänst, som kan betraktas som en enda felpunkt. För närvarande erbjuds arbete genom två DNS-leverantörer - CloudFlare (standard) och
Byt leverantör eller inaktivera DoH
Kom ihåg att DoH kan vara användbart för att förhindra läckor av information om begärda värdnamn genom leverantörers DNS-servrar, bekämpa MITM-attacker och DNS-trafikspoofing (till exempel vid anslutning till offentligt Wi-Fi), motverka blockering på DNS-nivå (DoH) kan inte ersätta VPN när det gäller att kringgå blockering implementerad på DPI-nivå) eller för att organisera arbete i fall det är omöjligt att få direkt åtkomst till DNS-servrar (till exempel när du arbetar via en proxy). Medan DNS-förfrågningar normalt skickas direkt till DNS-servrarna som definieras i systemkonfigurationen, i fallet med DoH, är begäran om att fastställa värd-IP-adressen inkapslad i HTTPS-trafik och skickas till HTTP-servern, på vilken resolvern behandlar förfrågningar via webb-API. Den nuvarande DNSSEC-standarden använder kryptering endast för att autentisera klienten och servern, men skyddar inte trafik från avlyssning och garanterar inte konfidentialitet för förfrågningar.
För att välja de DoH-leverantörer som erbjuds i Firefox,
DoH bör användas med försiktighet. Till exempel, i Ryska federationen, IP-adresserna 104.16.248.249 och 104.16.249.249 associerade med standard DoH-servern mozilla.cloudflare-dns.com som erbjuds i Firefox,
DoH kan också orsaka problem inom områden som föräldrakontrollsystem, tillgång till interna namnutrymmen i företagssystem, vägval i optimeringssystem för innehållsleverans och efterlevnad av domstolsbeslut inom området för att bekämpa distribution av olagligt innehåll och utnyttjande av minderåriga. För att kringgå sådana problem har ett kontrollsystem implementerats och testats som automatiskt inaktiverar DoH under vissa förutsättningar.
För att identifiera företagslösare kontrolleras atypiska förstanivådomäner (TLD) och systemlösaren returnerar intranätadresser. För att avgöra om föräldrakontroller är aktiverade görs ett försök att lösa namnet exampleadultsite.com och om resultatet inte stämmer överens med den faktiska IP-adressen, anses blockering av vuxet innehåll är aktiv på DNS-nivå. Google och YouTubes IP-adresser kontrolleras också som tecken för att se om de har ersatts av restrict.youtube.com, forcesafesearch.google.com och restrictmoderate.youtube.com. Dessa kontroller tillåter angripare som kontrollerar resolverns funktion eller som kan störa trafiken att simulera sådant beteende för att inaktivera kryptering av DNS-trafik.
Att arbeta genom en enda DoH-tjänst kan också potentiellt leda till problem med trafikoptimering i innehållsleveransnätverk som balanserar trafik med hjälp av DNS (CDN-nätverkets DNS-server genererar ett svar som tar hänsyn till resolveradressen och tillhandahåller den närmaste värd för att ta emot innehållet). Att skicka en DNS-fråga från den resolver som är närmast användaren i sådana CDN resulterar i att adressen till värden som är närmast användaren returneras, men att skicka en DNS-fråga från en centraliserad resolver returnerar värdadressen närmast DNS-over-HTTPS-servern . Tester i praktiken visade att användningen av DNS-over-HTTP vid användning av ett CDN ledde till praktiskt taget inga förseningar före starten av innehållsöverföringen (för snabba anslutningar översteg fördröjningarna inte 10 millisekunder, och ännu snabbare prestanda observerades på långsamma kommunikationskanaler ). Användningen av EDNS Client Subnet-tillägget ansågs också tillhandahålla klientplatsinformation till CDN-resolvern.
Källa: opennet.ru