火狐开发者 关于默认为美国用户启用 DNS over HTTPS(DoH、DNS over HTTPS)模式。 DNS 流量加密被认为是保护用户的一个根本性重要因素。 从今天开始,美国用户的所有新安装都将默认启用 DoH。 现有的美国用户计划在几周内切换到 DoH。 在欧盟和其他国家/地区,目前默认激活 DoH .
激活 DoH 后,系统会向用户显示一条警告,如果需要,用户可以拒绝联系集中式 DoH DNS 服务器,并返回到向提供商的 DNS 服务器发送未加密查询的传统方案。 DoH 使用与特定 DoH 服务的绑定,而不是 DNS 解析器的分布式基础设施,这可以被视为单点故障。 目前,工作是通过两个 DNS 提供商提供的 - CloudFlare(默认)和 .
更改提供商或禁用 DoH 在网络连接设置中。 例如,您可以指定备用 DoH 服务器“https://dns.google/dns-query”来访问 Google 服务器、“https://dns.quad9.net/dns-query”-Quad9 和“https:/ /doh .opendns.com/dns-query” - OpenDNS。 About:config还提供了network.trr.mode设置,通过它你可以改变DoH的运行模式:值为0则完全禁用DoH; 1 - 使用 DNS 或 DoH,以速度更快者为准; 2 - 默认使用 DoH,并使用 DNS 作为后备选项; 3 - 仅使用 DoH; 4 - 并行使用 DoH 和 DNS 的镜像模式。
回想一下,DoH 可用于防止通过提供商的 DNS 服务器泄露有关请求的主机名的信息,打击 MITM 攻击和 DNS 流量欺骗(例如,当连接到公共 Wi-Fi 时),在 DNS 级别反阻止(DoH不能在绕过 DPI 级别实施的阻止方面取代 VPN)或在无法直接访问 DNS 服务器的情况下组织工作(例如,通过代理工作时)。 虽然通常 DNS 请求直接发送到系统配置中定义的 DNS 服务器,但在 DoH 的情况下,确定主机 IP 地址的请求被封装在 HTTPS 流量中并发送到 HTTP 服务器,解析器通过网络 API。 当前的 DNSSEC 标准仅使用加密来验证客户端和服务器,但不保护流量不被拦截,也不保证请求的机密性。
要选择 Firefox 中提供的 DoH 提供商, 对可信赖的 DNS 解析器,据此 DNS 运营商只能将收到的数据用于解析以确保服务的运行,不得存储日志超过 24 小时,不能将数据传输给第三方,并被要求披露信息关于数据处理方法。 该服务还必须承诺不审查、过滤、干扰或阻止 DNS 流量,除非法律要求。
应谨慎使用 DoH。 例如,在俄罗斯联邦,IP 地址 104.16.248.249 和 104.16.249.249 与 Firefox 中提供的默认 DoH 服务器 mozilla.cloudflare-dns.com 关联, в 应斯塔夫罗波尔法院 10.06.2013 年 XNUMX 月 XNUMX 日的请求。
卫生部还可能在诸如家长控制系统、访问公司系统中的内部名称空间、内容交付优化系统中的路由选择以及在打击非法内容分发和利用非法内容方面遵守法院命令等领域造成问题。未成年人。 为了避免此类问题,我们实施并测试了一个检查系统,该系统会在某些条件下自动禁用 DoH。
为了识别企业解析器,会检查非典型的一级域 (TLD),系统解析器会返回 Intranet 地址。 为了确定是否启用了家长控制,会尝试解析名称 exampleadultsite.com,如果结果与实际 IP 不匹配,则认为成人内容阻止在 DNS 级别处于活动状态。 Google 和 YouTube IP 地址也会作为标志进行检查,以查看它们是否已被restrict.youtube.com、forcesafesearch.google.com 和restrictmoderate.youtube.com 替换。 这些检查允许控制解析器操作或能够干扰流量的攻击者模拟此类行为以禁用 DNS 流量加密。
通过单一 DoH 服务工作还可能会导致使用 DNS 平衡流量的内容分发网络中的流量优化问题(CDN 网络的 DNS 服务器会考虑解析器地址生成响应,并提供最近的主机来接收内容)。 从此类 CDN 中最接近用户的解析器发送 DNS 查询会导致返回最接近用户的主机地址,但从集中式解析器发送 DNS 查询将返回最接近 DNS-over-HTTPS 服务器的主机地址。 实践测试表明,在使用 CDN 时使用 DNS-over-HTTP 几乎不会导致内容传输开始前出现任何延迟(对于快速连接,延迟不会超过 10 毫秒,在慢速通信通道上甚至可以观察到更快的性能) )。 还考虑使用 EDNS 客户端子网扩展来向 CDN 解析器提供客户端位置信息。
来源: opennet.ru