Nhà phát triển Firefox về việc hoàn tất thử nghiệm hỗ trợ DNS qua HTTPS (DoH, DNS qua HTTPS) và ý định kích hoạt công nghệ này theo mặc định cho người dùng Hoa Kỳ vào cuối tháng 100. Việc kích hoạt sẽ được thực hiện dần dần, ban đầu đối với một vài phần trăm người dùng và nếu không có vấn đề gì thì sẽ tăng dần lên XNUMX%. Sau khi Hoa Kỳ được bao phủ, DoH sẽ được xem xét để đưa vào các quốc gia khác.
Các thử nghiệm được thực hiện trong suốt năm cho thấy độ tin cậy và hiệu suất tốt của dịch vụ, đồng thời giúp xác định một số tình huống mà DoH có thể dẫn đến sự cố và phát triển các giải pháp để khắc phục chúng (ví dụ: tháo rời với tối ưu hóa lưu lượng truy cập trong mạng phân phối nội dung, kiểm soát của phụ huynh và vùng DNS nội bộ của công ty).
Tầm quan trọng của việc mã hóa lưu lượng DNS được đánh giá là yếu tố cơ bản quan trọng trong việc bảo vệ người dùng nên người ta quyết định bật DoH theo mặc định nhưng ở giai đoạn đầu chỉ dành cho người dùng từ Hoa Kỳ. Sau khi kích hoạt DoH, người dùng sẽ nhận được cảnh báo cho phép, nếu muốn, từ chối liên hệ với các máy chủ DNS DoH tập trung và quay lại sơ đồ truyền thống là gửi các yêu cầu không được mã hóa đến máy chủ DNS của nhà cung cấp (thay vì cơ sở hạ tầng phân tán của trình phân giải DNS, DoH sử dụng liên kết với một dịch vụ DoH cụ thể, có thể coi đây là một điểm lỗi duy nhất).
Nếu DoH được kích hoạt, hệ thống kiểm soát của phụ huynh và mạng công ty sử dụng cấu trúc tên DNS chỉ dành cho mạng nội bộ để phân giải địa chỉ mạng nội bộ và máy chủ của công ty có thể bị gián đoạn. Để giải quyết vấn đề với những hệ thống như vậy, một hệ thống kiểm tra đã được thêm vào để tự động vô hiệu hóa DoH. Việc kiểm tra được thực hiện mỗi khi trình duyệt được khởi chạy hoặc khi phát hiện thấy thay đổi mạng con.
Tính năng tự động quay lại sử dụng trình phân giải hệ điều hành tiêu chuẩn cũng được cung cấp nếu xảy ra lỗi trong quá trình phân giải thông qua DoH (ví dụ: nếu tính khả dụng của mạng với nhà cung cấp DoH bị gián đoạn hoặc xảy ra lỗi trong cơ sở hạ tầng của nó). Ý nghĩa của việc kiểm tra như vậy vẫn còn đáng nghi ngờ, vì không ai ngăn cản những kẻ tấn công kiểm soát hoạt động của trình phân giải hoặc có khả năng can thiệp vào lưu lượng truy cập mô phỏng hành vi tương tự để vô hiệu hóa mã hóa lưu lượng DNS. Vấn đề đã được giải quyết bằng cách thêm mục “DoH luôn” vào cài đặt (không hoạt động âm thầm), khi được đặt, tính năng tự động tắt sẽ không được áp dụng, đây là một sự thỏa hiệp hợp lý.
Để xác định trình phân giải doanh nghiệp, các miền cấp một (TLD) không điển hình sẽ được kiểm tra và trình phân giải hệ thống trả về địa chỉ mạng nội bộ. Để xác định xem tính năng kiểm soát của phụ huynh có được bật hay không, chúng tôi sẽ cố gắng phân giải tên exampleadultsite.com và nếu kết quả không khớp với IP thực tế thì được coi là tính năng chặn nội dung người lớn đang hoạt động ở cấp DNS. Địa chỉ IP của Google và YouTube cũng được kiểm tra dưới dạng dấu hiệu để xem liệu chúng có bị thay thế bởi limit.youtube.com, Forcesafesearch.google.com và limitmoderate.youtube.com hay không. Mozilla bổ sung triển khai một máy chủ thử nghiệm duy nhất , ISP và dịch vụ kiểm soát của phụ huynh có thể sử dụng làm cờ để tắt DoH (nếu không phát hiện được máy chủ, Firefox sẽ tắt DoH).
Hoạt động thông qua một dịch vụ DoH cũng có thể dẫn đến các sự cố về tối ưu hóa lưu lượng truy cập trong mạng phân phối nội dung cân bằng lưu lượng truy cập bằng DNS (máy chủ DNS của mạng CDN tạo ra phản hồi có tính đến địa chỉ của trình phân giải và cung cấp máy chủ gần nhất để nhận nội dung). Việc gửi truy vấn DNS từ trình phân giải gần người dùng nhất trong các CDN như vậy sẽ trả về địa chỉ của máy chủ gần người dùng nhất, nhưng gửi truy vấn DNS từ trình phân giải tập trung sẽ trả về địa chỉ máy chủ gần nhất với máy chủ DNS-over-HTTPS . Thử nghiệm trong thực tế cho thấy rằng việc sử dụng DNS-over-HTTP khi sử dụng CDN hầu như không dẫn đến độ trễ trước khi bắt đầu truyền nội dung (đối với các kết nối nhanh, độ trễ không vượt quá 10 mili giây và thậm chí còn có hiệu suất nhanh hơn trên các kênh liên lạc chậm ). Việc sử dụng tiện ích mở rộng Mạng con Máy khách EDNS cũng được coi là cung cấp thông tin vị trí máy khách cho trình phân giải CDN.
Chúng ta hãy nhớ lại rằng DoH có thể hữu ích trong việc ngăn chặn rò rỉ thông tin về tên máy chủ được yêu cầu thông qua máy chủ DNS của nhà cung cấp, chống lại các cuộc tấn công MITM và giả mạo lưu lượng DNS, chống lại việc chặn ở cấp DNS hoặc để tổ chức công việc trong trường hợp nó không thể truy cập trực tiếp vào máy chủ DNS (ví dụ: khi làm việc thông qua proxy). Nếu trong tình huống bình thường, các yêu cầu DNS được gửi trực tiếp đến các máy chủ DNS được xác định trong cấu hình hệ thống thì trong trường hợp DoH, yêu cầu xác định địa chỉ IP của máy chủ được gói gọn trong lưu lượng HTTPS và gửi đến máy chủ HTTP, nơi trình phân giải xử lý yêu cầu thông qua API Web. Tiêu chuẩn DNSSEC hiện tại chỉ sử dụng mã hóa để xác thực máy khách và máy chủ nhưng không bảo vệ lưu lượng truy cập khỏi bị chặn và không đảm bảo tính bảo mật của các yêu cầu.
Để bật DoH trong about:config, bạn phải thay đổi giá trị của biến network.trr.mode, đã được hỗ trợ kể từ Firefox 60. Giá trị 0 sẽ vô hiệu hóa hoàn toàn DoH; 1 - DNS hoặc DoH được sử dụng, tùy theo cái nào nhanh hơn; 2 - DoH được sử dụng theo mặc định và DNS được sử dụng làm tùy chọn dự phòng; 3 - chỉ sử dụng DoH; 4 - chế độ phản chiếu trong đó DoH và DNS được sử dụng song song. Theo mặc định, máy chủ DNS CloudFlare được sử dụng nhưng có thể thay đổi thông qua tham số network.trr.uri, ví dụ: bạn có thể đặt “https://dns.google.com/experimental” hoặc “https://9.9.9.9 .XNUMX/dns-truy vấn "
Nguồn: opennet.ru