火狐开发者 关于完成对 DNS over HTTPS(DoH、DNS over HTTPS)的测试支持,并打算在 100 月底默认为美国用户启用该技术。 激活将逐步进行,最初针对百分之几的用户,如果没有问题,则逐渐增加到 XNUMX%。 一旦美国被纳入其中,卫生部将考虑将其纳入其他国家。
全年进行的测试显示了该服务的可靠性和良好性能,并且还可以识别 DoH 可能导致问题的一些情况并制定解决方案来规避这些问题(例如,拆卸的 内容交付网络、家长控制和公司内部 DNS 区域的流量优化)。
加密 DNS 流量的重要性被评估为保护用户的根本性重要因素,因此决定默认启用 DoH,但第一阶段仅针对来自美国的用户。 激活 DoH 后,用户将收到一条警告,如果需要,用户将可以拒绝联系集中式 DoH DNS 服务器,并返回到向提供商的 DNS 服务器发送未加密请求的传统方案(而不是 DNS 解析器的分布式基础设施) DoH 使用绑定到特定的 DoH 服务,这可以被视为单点故障)。
如果激活 DoH,则使用仅限内部网络的 DNS 名称结构来解析 Intranet 地址和公司主机的家长控制系统和公司网络可能会受到干扰。 为了解决此类系统的问题,添加了一个自动禁用 DoH 的检查系统。 每次启动浏览器或检测到子网更改时都会执行检查。
如果在通过 DoH 解决期间发生故障(例如,如果 DoH 提供商的网络可用性中断或其基础设施发生故障),还可以自动返回到使用标准操作系统解析器。 此类检查的意义值得商榷,因为没有人能够阻止控制解析器操作或能够干扰流量的攻击者模拟类似行为以禁用 DNS 流量加密。 通过在设置中添加“DoH Always”项(静默不活动)解决了该问题,设置后,不会应用自动关机,这是一个合理的折衷方案。
为了识别企业解析器,会检查非典型的一级域 (TLD),系统解析器会返回 Intranet 地址。 为了确定是否启用了家长控制,会尝试解析名称 exampleadultsite.com,如果结果与实际 IP 不匹配,则认为成人内容阻止在 DNS 级别处于活动状态。 Google 和 YouTube IP 地址也会作为标志进行检查,以查看它们是否已被restrict.youtube.com、forcesafesearch.google.com 和restrictmoderate.youtube.com 替换。 额外的 Mozilla 实施单个测试主机 ,ISP 和家长控制服务可以将其用作禁用 DoH 的标志(如果未检测到主机,Firefox 将禁用 DoH)。
通过单一 DoH 服务工作还可能会导致使用 DNS 平衡流量的内容分发网络中的流量优化问题(CDN 网络的 DNS 服务器会考虑解析器地址生成响应,并提供最近的主机来接收内容)。 从此类 CDN 中最接近用户的解析器发送 DNS 查询会导致返回最接近用户的主机地址,但从集中式解析器发送 DNS 查询将返回最接近 DNS-over-HTTPS 服务器的主机地址。 实践测试表明,在使用 CDN 时使用 DNS-over-HTTP 几乎不会导致内容传输开始前出现任何延迟(对于快速连接,延迟不会超过 10 毫秒,在慢速通信通道上甚至可以观察到更快的性能) )。 还考虑使用 EDNS 客户端子网扩展来向 CDN 解析器提供客户端位置信息。
让我们回想一下,DoH 可用于防止通过提供商的 DNS 服务器泄漏有关所请求主机名的信息、对抗 MITM 攻击和 DNS 流量欺骗、对抗 DNS 级别的阻塞,或者在发生以下情况时组织工作:无法直接访问 DNS 服务器(例如,通过代理工作时)。 如果在正常情况下 DNS 请求直接发送到系统配置中定义的 DNS 服务器,那么在 DoH 的情况下,确定主机 IP 地址的请求将封装在 HTTPS 流量中并发送到 HTTP 服务器,解析器在其中处理通过 Web API 发出请求。 现有的DNSSEC标准仅使用加密来验证客户端和服务器,但不能保护流量不被拦截,也不能保证请求的机密性。
要在 about:config 中启用 DoH,您必须更改 network.trr.mode 变量的值,该变量自 Firefox 60 起受支持。值为 0 会完全禁用 DoH;值为 1 会完全禁用 DoH。 2 - 使用 DNS 或 DoH,以速度更快者为准; 3 - 默认使用 DoH,并使用 DNS 作为后备选项; 4 - 仅使用 DoH; 9.9.9.9 - 并行使用 DoH 和 DNS 的镜像模式。 默认情况下,使用CloudFlare DNS服务器,但可以通过network.trr.uri参数进行更改,例如,您可以设置“https://dns.google.com/experimental”或“https://XNUMX” .XNUMX/dns-查询“
来源: opennet.ru