Firefox דעוועלאָפּערס о завершении тестирования поддержки DNS поверх HTTPS (DoH, DNS over HTTPS) и намерении в конце сентября включить данную технологию по умолчанию для пользователей из США. Включение будет производиться поступательно, вначале для нескольких процентов пользователей, а в случае отсутствия проблем постепенно доводя до 100%. После охвата США будет рассмотрена возможность включения DoH и в других странах.
Проводимые в течение года тесты показали надёжность и хорошую производительность сервиса, а также позволили выявить некоторые ситуации, когда DoH может приводить к проблемам, и разработать решения для их обхода (например, разобраны с оптимизацией трафика в сетях доставки контента, родительским контролем и корпоративными внутренними DNS-зонами).
Важность шифрования DNS-трафика оценивается как принципиально важный фактор защиты пользователей, поэтому DoH решено включить по умолчанию, но на первом этапе только для пользователей из США. После активации DoH пользователю будет выведено предупреждение, которое позволит при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера (вместо распределённой инфраструктуры резолверов DNS, в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа).
При активации DoH возможно нарушение работы систем родительского контроля и корпоративных сетей, использующих доступную только для внутренней сети структуру имён DNS для преобразования интранет-адресов и корпоративных хостов. Для решения проблем с подобными системами добавлена система проверок, автоматически отключающих DoH. Проверки выполняются при каждом запуске браузера или при определении изменения подсети.
Автоматический возврат на использование штатного резолвера операционной системы также предусмотрен при возникновении сбоев при резолвинге через DoH (например, при нарушении сетевой доступности с провайдером DoH или возникновении сбоев в его инфраструктуре). Смысл подобных проверок сомнителен, так как никто не мешает атакующим, контролирующим работу резолвера или способным вмешаться в трафик, симулировать подобное поведение для отключения шифрования DNS-трафика. Проблема решена добавлением в настройки пункта «DoH always» (по молчанию не активен), при установке которого автоматическое отключение не применяется, что является разумным компромиссом.
Для определения корпоративных резолверов выполняются проверки нетипичных доменов первого уровня (TLD) и возвращение системным резолвером интранет-адресов. Для определения включения родительского контроля осуществляется попытка резолвинга имени exampleadultsite.com и если результат не совпадает с фактическим IP, считается, что активна блокировка взрослого контента на уровне DNS. В качестве признаков также проверяются IP-адреса Google и YouTube на предмет их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com. Дополнительно Mozilla внедрить единый проверочный хост , который могут использовать интернет-провайдеры и сервисы родительского контроля в качестве метки для отключения DoH (если хост не определяется, Firefox отключает DoH).
ארבעטן דורך אַ איין דאָה דינסט קען אויך פּאַטענטשאַלי פירן צו פּראָבלעמס מיט פאַרקער אַפּטאַמאַזיישאַן אין אינהאַלט עקספּרעס נעטוואָרקס וואָס באַלאַנסירן פאַרקער ניצן דנס (די CDN נעץ ס דנס סערווער דזשענערייץ אַ ענטפער מיט די רעסאָלווער אַדרעס און גיט די קלאָוסאַסט באַלעבאָס צו באַקומען די אינהאַלט). שיקט אַ DNS אָנפֿרעג פֿון די רעסאָלווער קלאָוסאַסט צו דער באַניצער אין אַזאַ CDNs ריזאַלטינג אין צוריקקומען די אַדרעס פון דער באַלעבאָס קלאָוסאַסט צו דער באַניצער, אָבער שיקן אַ DNS אָנפֿרעג פֿון אַ סענטראַלייזד רעסאָלווער וועט צוריקקומען די באַלעבאָס אַדרעס קלאָוסאַסט צו די DNS-over-HTTPS סערווער. . טעסטינג אין פיר געוויזן אַז די נוצן פון DNS-over-HTTP ווען ניצן אַ CDN געפירט צו כמעט קיין דילייז איידער די אָנהייב פון אינהאַלט אַריבערפירן (פֿאַר שנעל קאַנעקשאַנז, דילייז איז נישט יקסיד 10 מיליסעקאַנדז, און אפילו פאַסטער פאָרשטעלונג איז באמערקט אויף פּאַמעלעך קאָמוניקאַציע טשאַנאַלז ). די נוצן פון די EDNS קליענט סובנעט פאַרלענגערונג איז אויך באטראכט צו צושטעלן קליענט אָרט אינפֿאָרמאַציע צו די CDN רעסאָלווער.
לאָמיר צוריקרופן אַז DoH קענען זיין נוציק פֿאַר פּרעווענטינג אינפֿאָרמאַציע ליקס וועגן די געבעטן באַלעבאָס נעמען דורך די DNS סערווערס פון פּראַוויידערז, קאַמבאַטינג MITM אנפאלן און ספּאָאָפינג פון DNS פאַרקער, קאַונטערינג בלאַקינג אויף די דנס מדרגה, אָדער פֿאַר אָרגאַנייזינג אַרבעט אויב עס עס איז אוממעגלעך צו גלייַך אַקסעס דנס סערווערס (פֿאַר בייַשפּיל, ווען איר אַרבעט דורך אַ פראקסי). אויב אין אַ נאָרמאַל סיטואַציע דנס ריקוועס זענען גלייך געשיקט צו דנס סערווערס דיפיינד אין די סיסטעם קאַנפיגיעריישאַן, אין דעם פאַל פון דאָה, די בקשה צו באַשטימען די IP אַדרעס פון די באַלעבאָס איז ענקאַפּסאַלייטיד אין הטטפּס פאַרקער און געשיקט צו די הטטפּ סערווער, ווו די רעסאָלווער פּראַסעסאַז. ריקוועס דורך די וועב אַפּי. די יגזיסטינג DNSSEC נאָרמאַל ניצט ענקריפּשאַן בלויז צו אָטענטאַקייט דעם קליענט און סערווער, אָבער טוט נישט באַשיצן פאַרקער פון ינטערסעפּשאַן און טוט נישט גאַראַנטירן די קאַנפאַדענשיאַלאַטי פון ריקוועס.
צו געבן דאָה אין וועגן: קאָנפיג, איר מוזן טוישן די ווערט פון די נעץ.טרר.מאָדע בייַטעוודיק, וואָס איז געשטיצט זינט פירעפאָקס 60. א ווערט פון 0 דיסייבאַלז דאָה גאָר; 1 - דנס אָדער דאָה איז געניצט, וועלכער איז פאַסטער; 2 - דאָה איז געניצט דורך פעליקייַט, און דנס איז געניצט ווי אַ פאַלבאַק אָפּציע; 3 - בלויז דאָה איז געניצט; 4 - מירערינג מאָדע אין וואָס דאָה און דנס זענען געניצט אין פּאַראַלעל. דורך פעליקייַט, די CloudFlare DNS סערווער איז געניצט, אָבער עס קענען זיין טשיינדזשד דורך די parameter network.trr.uri, למשל, איר קענען שטעלן "https://dns.google.com/experimental" אָדער "https://9.9.9.9" .XNUMX/dns-query "
מקור: opennet.ru