Розробники Firefox про завершення тестування підтримки DNS поверх HTTPS (DoH, DNS over HTTPS) та намір наприкінці вересня включити цю технологію за промовчанням для користувачів із США. Включення буде здійснюватись поступово, спочатку для кількох відсотків користувачів, а у разі відсутності проблем поступово доводячи до 100%. Після охоплення США буде розглянуто можливість включення DoH та інших країнах.
Проведені протягом року тести показали надійність та хорошу продуктивність сервісу, а також дозволили виявити деякі ситуації, коли DoH може призводити до проблем, та розробити рішення для їх обходу (наприклад, розібрані з оптимізацією трафіку в мережах доставки контенту, батьківським контролем та корпоративними внутрішніми DNS-зонами).
Важливість шифрування DNS-трафіку оцінюється як важливий чинник захисту користувачів, тому DoH вирішено включити за умовчанням, але першому етапі лише користувачів із США. Після активації DoH користувачу буде виведено попередження, яке дозволить при бажанні відмовитися від звернення до централізованих DoH-серверів DNS і повернутися до традиційної схеми відправки незашифрованих запитів до DNS-сервера провайдера (замість розподіленої інфраструктури резолверів DNS, в DoH використана прив'язка , що може розглядатися як єдина точка відмови).
При активації DoH можливе порушення роботи систем батьківського контролю та корпоративних мереж, які використовують доступну тільки для внутрішньої мережі структуру імен DNS для перетворення інтранет-адрес та корпоративних хостів. Для вирішення проблем з подібними системами додано систему перевірок, що автоматично вимикають DoH. Перевірки виконуються при кожному запуску браузера або під час визначення зміни підмережі.
Автоматичне повернення на використання штатного резолвера операційної системи також передбачене у разі виникнення збоїв при резолвінгу через DoH (наприклад, при порушенні мережної доступності з провайдером DoH або виникненні збоїв у його інфраструктурі). Сенс подібних перевірок є сумнівним, оскільки ніхто не заважає атакуючим, контролюючим роботу резолвера або здатним втрутитися в трафік, симулювати подібну поведінку для відключення шифрування DNS-трафіку. Проблема вирішена додаванням у налаштування пункту «DoH always» (за мовчанням не активний), під час встановлення якого автоматичне вимкнення не застосовується, що є розумним компромісом.
Для визначення корпоративних резолверів виконуються перевірки нетипових доменів першого рівня (TLD) та повернення системним резолвером інтранет-адрес. Для визначення включення батьківського контролю здійснюється спроба резолвінгу імені exampleadultsite.com і якщо результат не збігається з фактичним IP, вважається активним блокування дорослого контенту на рівні DNS. Як ознаки також перевіряються IP-адреси Google і YouTube щодо їх заміни на restrict.youtube.com, forcesafesearch.google.com і restrictmoderate.youtube.com. Додатково Mozilla впровадити єдиний перевірочний хост , який можуть використовувати інтернет-провайдери та сервіси батьківського контролю як мітка для відключення DoH (якщо хост не визначається, Firefox відключає DoH).
Робота через єдиний DoH-сервіс також потенційно може призвести до проблем з оптимізацією трафіку в мережах доставки контенту, які виконують балансування трафіку з використанням DNS (DNS-сервер CDN-мережі формує відповідь з огляду на адресу резолвера та видає найближчий хост для отримання контенту). Надсилання DNS-запиту з найближчого до користувача резолвера в таких CDN призводить до повернення адреси найближчого до користувача хоста, але при надсиланні DNS-запиту з централізованого резолвера буде видана адреса хоста, найближча до сервера DNS-over-HTTPS. Тестування практично показало, що застосування DNS-over-HTTP при використанні CDN практично не призводило до затримок перед початком передачі контенту (для швидких з'єднань затримки не перевищували 10 мілісекунд, а на повільних каналах зв'язку спостерігалося навіть прискорення роботи). Для передачі резолверу CDN відомості про місцезнаходження клієнта було розглянуто застосування розширення EDNS Client Subnet.
Нагадаємо, що DoH може виявитися корисним для виключення витоків відомостей про запитовані імена хостів через DNS-сервери провайдерів, боротьби з MITM-атаками та заміною DNS-трафіку, протистояння блокувань на рівні DNS або для організації роботи у разі неможливості прямого звернення до DNS-серверів (наприклад, під час роботи через проксі). Якщо у звичайній ситуації DNS-запити безпосередньо відправляються на визначені в конфігурації системи DNS-сервери, то у разі DoH запит на визначення IP-адреси хоста інкапсулюється в трафік HTTPS і відправляється на сервер HTTP, на якому резолвер обробляє запити через Web API. Існуючий стандарт DNSSEC використовує шифрування лише для автентифікації клієнта та сервера, але не захищає трафік від перехоплення та не гарантує конфіденційність запитів.
Для включення DoH в about:config слід змінити значення змінної network.trr.mode, яка підтримується з Firefox 60. Значення 0 повністю відключає DoH; 1 - використовується DNS або DoH, залежно від того, що швидше; 2 - використовується DoH за замовчуванням, а DNS як запасний варіант; 3 - використовується тільки DoH; 4 — режим дзеркалювання, при якому DoH і DNS задіяні паралельно. За замовчуванням використовується DNS-сервер CloudFlare, але його можна змінити через параметр network.trr.uri, наприклад, можна встановити https://dns.google.com/experimental або https://9.9.9.9/dns-query ».
Джерело: opennet.ru