Nhà phát triển Firefox về việc bật chế độ DNS qua HTTPS (DoH, DNS qua HTTPS) theo mặc định cho người dùng ở Hoa Kỳ. Mã hóa lưu lượng DNS được coi là yếu tố cơ bản quan trọng trong việc bảo vệ người dùng. Bắt đầu từ hôm nay, tất cả các cài đặt mới của người dùng Hoa Kỳ sẽ được bật DoH theo mặc định. Người dùng hiện tại ở Hoa Kỳ dự kiến sẽ chuyển sang DoH trong vòng vài tuần nữa. Ở Liên minh Châu Âu và các quốc gia khác, kích hoạt DoH theo mặc định ngay bây giờ .
Sau khi kích hoạt DoH, một cảnh báo sẽ hiển thị cho người dùng, cảnh báo này cho phép, nếu muốn, từ chối liên hệ với các máy chủ DNS DoH tập trung và quay lại sơ đồ truyền thống là gửi các truy vấn không được mã hóa đến máy chủ DNS của nhà cung cấp. Thay vì cơ sở hạ tầng phân tán của các trình phân giải DNS, DoH sử dụng liên kết với một dịch vụ DoH cụ thể, có thể được coi là một điểm lỗi duy nhất. Hiện tại, công việc được cung cấp thông qua hai nhà cung cấp DNS - CloudFlare (mặc định) và .
Thay đổi nhà cung cấp hoặc vô hiệu hóa DoH trong cài đặt kết nối mạng. Ví dụ: bạn có thể chỉ định một máy chủ DoH thay thế “https://dns.google/dns-query” để truy cập vào máy chủ Google, “https://dns.quad9.net/dns-query” - Quad9 và “https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config cũng cung cấp cài đặt network.trr.mode, qua đó bạn có thể thay đổi chế độ vận hành DoH: giá trị 0 sẽ vô hiệu hóa hoàn toàn DoH; 1 - DNS hoặc DoH được sử dụng, tùy theo cái nào nhanh hơn; 2 - DoH được sử dụng theo mặc định và DNS được sử dụng làm tùy chọn dự phòng; 3 - chỉ sử dụng DoH; 4 - chế độ phản chiếu trong đó DoH và DNS được sử dụng song song.
Chúng ta hãy nhớ lại rằng DoH có thể hữu ích trong việc ngăn chặn rò rỉ thông tin về tên máy chủ được yêu cầu thông qua máy chủ DNS của nhà cung cấp, chống lại các cuộc tấn công MITM và giả mạo lưu lượng DNS (ví dụ: khi kết nối với Wi-Fi công cộng), chống chặn tại DNS cấp độ (DoH không thể thay thế VPN trong lĩnh vực vượt qua chặn được triển khai ở cấp độ DPI) hoặc để tổ chức công việc nếu không thể truy cập trực tiếp vào máy chủ DNS (ví dụ: khi làm việc thông qua proxy). Nếu trong tình huống bình thường, các yêu cầu DNS được gửi trực tiếp đến các máy chủ DNS được xác định trong cấu hình hệ thống thì trong trường hợp DoH, yêu cầu xác định địa chỉ IP của máy chủ được gói gọn trong lưu lượng HTTPS và gửi đến máy chủ HTTP, nơi trình phân giải xử lý yêu cầu thông qua API Web. Tiêu chuẩn DNSSEC hiện tại chỉ sử dụng mã hóa để xác thực máy khách và máy chủ nhưng không bảo vệ lưu lượng truy cập khỏi bị chặn và không đảm bảo tính bảo mật của các yêu cầu.
Để chọn nhà cung cấp DoH được cung cấp trong Firefox, cho các trình phân giải DNS đáng tin cậy, theo đó nhà điều hành DNS chỉ có thể sử dụng dữ liệu nhận được để phân giải nhằm đảm bảo hoạt động của dịch vụ, không được lưu trữ nhật ký quá 24 giờ, không được chuyển dữ liệu cho bên thứ ba và có nghĩa vụ tiết lộ thông tin về các phương pháp xử lý dữ liệu. Dịch vụ cũng phải đồng ý không kiểm duyệt, lọc, can thiệp hoặc chặn lưu lượng DNS, ngoại trừ các trường hợp được pháp luật quy định.
DoH nên được sử dụng thận trọng. Ví dụ: ở Liên bang Nga, địa chỉ IP 104.16.248.249 và 104.16.249.249 được liên kết với máy chủ DoH mặc định mozilla.cloudflare-dns.com được cung cấp trong Firefox, в theo yêu cầu của tòa án Stavropol ngày 10.06.2013 tháng XNUMX năm XNUMX.
DoH cũng có thể gây ra vấn đề trong các lĩnh vực như hệ thống kiểm soát của phụ huynh, quyền truy cập vào không gian tên nội bộ trong hệ thống công ty, lựa chọn tuyến đường trong hệ thống tối ưu hóa phân phối nội dung và tuân thủ lệnh của tòa án trong lĩnh vực chống phân phối nội dung bất hợp pháp và khai thác trẻ vị thành niên. Để tránh những vấn đề như vậy, một hệ thống kiểm tra đã được triển khai và thử nghiệm để tự động vô hiệu hóa DoH trong một số điều kiện nhất định.
Để xác định trình phân giải doanh nghiệp, các miền cấp một (TLD) không điển hình sẽ được kiểm tra và trình phân giải hệ thống trả về địa chỉ mạng nội bộ. Để xác định xem tính năng kiểm soát của phụ huynh có được bật hay không, chúng tôi sẽ cố gắng phân giải tên exampleadultsite.com và nếu kết quả không khớp với IP thực tế thì được coi là tính năng chặn nội dung người lớn đang hoạt động ở cấp DNS. Địa chỉ IP của Google và YouTube cũng được kiểm tra dưới dạng dấu hiệu để xem liệu chúng có bị thay thế bởi limit.youtube.com, Forcesafesearch.google.com và limitmoderate.youtube.com hay không. Những kiểm tra này cho phép những kẻ tấn công kiểm soát hoạt động của trình phân giải hoặc có khả năng can thiệp vào lưu lượng truy cập để mô phỏng hành vi đó nhằm vô hiệu hóa mã hóa lưu lượng DNS.
Hoạt động thông qua một dịch vụ DoH cũng có thể dẫn đến các sự cố về tối ưu hóa lưu lượng truy cập trong mạng phân phối nội dung cân bằng lưu lượng truy cập bằng DNS (máy chủ DNS của mạng CDN tạo ra phản hồi có tính đến địa chỉ của trình phân giải và cung cấp máy chủ gần nhất để nhận nội dung). Việc gửi truy vấn DNS từ trình phân giải gần người dùng nhất trong các CDN như vậy sẽ trả về địa chỉ của máy chủ gần người dùng nhất, nhưng gửi truy vấn DNS từ trình phân giải tập trung sẽ trả về địa chỉ máy chủ gần nhất với máy chủ DNS-over-HTTPS . Thử nghiệm trong thực tế cho thấy rằng việc sử dụng DNS-over-HTTP khi sử dụng CDN hầu như không dẫn đến độ trễ trước khi bắt đầu truyền nội dung (đối với các kết nối nhanh, độ trễ không vượt quá 10 mili giây và thậm chí còn có hiệu suất nhanh hơn trên các kênh liên lạc chậm ). Việc sử dụng tiện ích mở rộng Mạng con Máy khách EDNS cũng được coi là cung cấp thông tin vị trí máy khách cho trình phân giải CDN.
Nguồn: opennet.ru