Nhà phát triển Firefox
Sau khi kích hoạt DoH, một cảnh báo sẽ hiển thị cho người dùng, cảnh báo này cho phép, nếu muốn, từ chối liên hệ với các máy chủ DNS DoH tập trung và quay lại sơ đồ truyền thống là gửi các truy vấn không được mã hóa đến máy chủ DNS của nhà cung cấp. Thay vì cơ sở hạ tầng phân tán của các trình phân giải DNS, DoH sử dụng liên kết với một dịch vụ DoH cụ thể, có thể được coi là một điểm lỗi duy nhất. Hiện tại, công việc được cung cấp thông qua hai nhà cung cấp DNS - CloudFlare (mặc định) và
Thay đổi nhà cung cấp hoặc vô hiệu hóa DoH
Chúng ta hãy nhớ lại rằng DoH có thể hữu ích trong việc ngăn chặn rò rỉ thông tin về tên máy chủ được yêu cầu thông qua máy chủ DNS của nhà cung cấp, chống lại các cuộc tấn công MITM và giả mạo lưu lượng DNS (ví dụ: khi kết nối với Wi-Fi công cộng), chống chặn tại DNS cấp độ (DoH không thể thay thế VPN trong lĩnh vực vượt qua chặn được triển khai ở cấp độ DPI) hoặc để tổ chức công việc nếu không thể truy cập trực tiếp vào máy chủ DNS (ví dụ: khi làm việc thông qua proxy). Nếu trong tình huống bình thường, các yêu cầu DNS được gửi trực tiếp đến các máy chủ DNS được xác định trong cấu hình hệ thống thì trong trường hợp DoH, yêu cầu xác định địa chỉ IP của máy chủ được gói gọn trong lưu lượng HTTPS và gửi đến máy chủ HTTP, nơi trình phân giải xử lý yêu cầu thông qua API Web. Tiêu chuẩn DNSSEC hiện tại chỉ sử dụng mã hóa để xác thực máy khách và máy chủ nhưng không bảo vệ lưu lượng truy cập khỏi bị chặn và không đảm bảo tính bảo mật của các yêu cầu.
Để chọn nhà cung cấp DoH được cung cấp trong Firefox,
DoH nên được sử dụng thận trọng. Ví dụ: ở Liên bang Nga, địa chỉ IP 104.16.248.249 và 104.16.249.249 được liên kết với máy chủ DoH mặc định mozilla.cloudflare-dns.com được cung cấp trong Firefox,
DoH cũng có thể gây ra vấn đề trong các lĩnh vực như hệ thống kiểm soát của phụ huynh, quyền truy cập vào không gian tên nội bộ trong hệ thống công ty, lựa chọn tuyến đường trong hệ thống tối ưu hóa phân phối nội dung và tuân thủ lệnh của tòa án trong lĩnh vực chống phân phối nội dung bất hợp pháp và khai thác trẻ vị thành niên. Để tránh những vấn đề như vậy, một hệ thống kiểm tra đã được triển khai và thử nghiệm để tự động vô hiệu hóa DoH trong một số điều kiện nhất định.
Để xác định trình phân giải doanh nghiệp, các miền cấp một (TLD) không điển hình sẽ được kiểm tra và trình phân giải hệ thống trả về địa chỉ mạng nội bộ. Để xác định xem tính năng kiểm soát của phụ huynh có được bật hay không, chúng tôi sẽ cố gắng phân giải tên exampleadultsite.com và nếu kết quả không khớp với IP thực tế thì được coi là tính năng chặn nội dung người lớn đang hoạt động ở cấp DNS. Địa chỉ IP của Google và YouTube cũng được kiểm tra dưới dạng dấu hiệu để xem liệu chúng có bị thay thế bởi limit.youtube.com, Forcesafesearch.google.com và limitmoderate.youtube.com hay không. Những kiểm tra này cho phép những kẻ tấn công kiểm soát hoạt động của trình phân giải hoặc có khả năng can thiệp vào lưu lượng truy cập để mô phỏng hành vi đó nhằm vô hiệu hóa mã hóa lưu lượng DNS.
Hoạt động thông qua một dịch vụ DoH cũng có thể dẫn đến các sự cố về tối ưu hóa lưu lượng truy cập trong mạng phân phối nội dung cân bằng lưu lượng truy cập bằng DNS (máy chủ DNS của mạng CDN tạo ra phản hồi có tính đến địa chỉ của trình phân giải và cung cấp máy chủ gần nhất để nhận nội dung). Việc gửi truy vấn DNS từ trình phân giải gần người dùng nhất trong các CDN như vậy sẽ trả về địa chỉ của máy chủ gần người dùng nhất, nhưng gửi truy vấn DNS từ trình phân giải tập trung sẽ trả về địa chỉ máy chủ gần nhất với máy chủ DNS-over-HTTPS . Thử nghiệm trong thực tế cho thấy rằng việc sử dụng DNS-over-HTTP khi sử dụng CDN hầu như không dẫn đến độ trễ trước khi bắt đầu truyền nội dung (đối với các kết nối nhanh, độ trễ không vượt quá 10 mili giây và thậm chí còn có hiệu suất nhanh hơn trên các kênh liên lạc chậm ). Việc sử dụng tiện ích mở rộng Mạng con Máy khách EDNS cũng được coi là cung cấp thông tin vị trí máy khách cho trình phân giải CDN.
Nguồn: opennet.ru