Firefox-utvecklare om slutförandet av teststöd för DNS över HTTPS (DoH, DNS över HTTPS) och avsikten att aktivera denna teknik som standard för amerikanska användare i slutet av september. Aktiveringen kommer att utföras progressivt, initialt för några procent av användarna, och om det inte finns några problem, gradvis öka till 100%. När USA väl är täckt kommer DoH att övervägas för inkludering i andra länder.
Tester som genomförts under hela året visade tjänstens tillförlitlighet och goda prestanda, och gjorde det också möjligt att identifiera vissa situationer där DoH kan leda till problem och utveckla lösningar för att kringgå dem (till exempel demonterade med trafikoptimering i innehållsleveransnätverk, föräldrakontroller och företagsinterna DNS-zoner).
Vikten av att kryptera DNS-trafik bedöms som en fundamentalt viktig faktor för att skydda användare, så det beslutades att aktivera DoH som standard, men i det första skedet endast för användare från USA. Efter att ha aktiverat DoH kommer användaren att få en varning som gör det möjligt att, om så önskas, vägra kontakta centraliserade DoH DNS-servrar och återgå till det traditionella schemat att skicka okrypterade förfrågningar till leverantörens DNS-server (istället för en distribuerad infrastruktur av DNS-resolvers, DoH använder bindning till en specifik DoH-tjänst, som kan betraktas som en enda felpunkt).
Om DoH är aktiverat kan föräldrakontrollsystem och företagsnätverk som använder den interna nätverksbaserade DNS-namnstrukturen för att lösa intranätadresser och företagsvärdar störas. För att lösa problem med sådana system har ett kontrollsystem lagts till som automatiskt inaktiverar DoH. Kontroller utförs varje gång webbläsaren startas eller när en förändring i subnätet upptäcks.
En automatisk återgång till att använda standardoperativsystemets resolver tillhandahålls också om fel uppstår under lösning via DoH (till exempel om nätverkstillgängligheten hos DoH-leverantören störs eller fel uppstår i dess infrastruktur). Innebörden av sådana kontroller är tveksam, eftersom ingen hindrar angripare som kontrollerar driften av resolver eller kan störa trafik från att simulera liknande beteende för att inaktivera kryptering av DNS-trafik. Problemet löstes genom att lägga till objektet "DoH alltid" i inställningarna (tyst inaktivt), när det ställts in tillämpas inte automatisk avstängning, vilket är en rimlig kompromiss.
För att identifiera företagslösare kontrolleras atypiska förstanivådomäner (TLD) och systemupplösaren returnerar intranätadresser. För att avgöra om föräldrakontroller är aktiverade görs ett försök att lösa namnet exampleadultsite.com och om resultatet inte stämmer överens med den faktiska IP-adressen anses blockering av barnförbjudet innehåll vara aktiv på DNS-nivå. Google och YouTubes IP-adresser kontrolleras också som tecken för att se om de har ersatts av restrict.youtube.com, forcesafesearch.google.com och restrictmoderate.youtube.com. Ytterligare Mozilla implementera en enda testvärd , som Internetleverantörer och föräldrakontrolltjänster kan använda som en flagga för att inaktivera DoH (om värden inte upptäcks, inaktiverar Firefox DoH).
Att arbeta genom en enda DoH-tjänst kan också potentiellt leda till problem med trafikoptimering i innehållsleveransnätverk som balanserar trafik med hjälp av DNS (CDN-nätverkets DNS-server genererar ett svar som tar hänsyn till resolveradressen och tillhandahåller den närmaste värd för att ta emot innehållet). Att skicka en DNS-fråga från den resolver som är närmast användaren i sådana CDN resulterar i att adressen till värden som är närmast användaren returneras, men att skicka en DNS-fråga från en centraliserad resolver returnerar värdadressen närmast DNS-over-HTTPS-servern . Tester i praktiken visade att användningen av DNS-over-HTTP vid användning av ett CDN ledde till praktiskt taget inga förseningar före starten av innehållsöverföringen (för snabba anslutningar översteg fördröjningarna inte 10 millisekunder, och ännu snabbare prestanda observerades på långsamma kommunikationskanaler ). Användningen av EDNS Client Subnet-tillägget ansågs också tillhandahålla klientplatsinformation till CDN-resolvern.
Låt oss komma ihåg att DoH kan vara användbart för att förhindra läckor av information om de begärda värdnamnen genom leverantörernas DNS-servrar, bekämpa MITM-attacker och spoofing av DNS-trafik, motverka blockering på DNS-nivå eller för att organisera arbetet i händelse av att det är omöjligt att få direkt åtkomst till DNS-servrar (till exempel när du arbetar via en proxy). Om DNS-förfrågningar i en normal situation skickas direkt till DNS-servrar definierade i systemkonfigurationen, då i fallet med DoH, är begäran om att fastställa värdens IP-adress inkapslad i HTTPS-trafik och skickas till HTTP-servern, där resolvern bearbetar förfrågningar via webb-API. Den befintliga DNSSEC-standarden använder endast kryptering för att autentisera klienten och servern, men skyddar inte trafik från avlyssning och garanterar inte konfidentialitet för förfrågningar.
För att aktivera DoH i about:config måste du ändra värdet på variabeln network.trr.mode, som har stöds sedan Firefox 60. Ett värde på 0 inaktiverar DoH helt; 1 - DNS eller DoH används, beroende på vilket som är snabbast; 2 - DoH används som standard och DNS används som ett reservalternativ; 3 - endast DoH används; 4 - speglingsläge där DoH och DNS används parallellt. Som standard används CloudFlare DNS-server, men den kan ändras via parametern network.trr.uri, till exempel kan du ställa in "https://dns.google.com/experimental" eller "https://9.9.9.9 .XNUMX/dns-query "
Källa: opennet.ru