火狐開發者 關於完成對 DNS over HTTPS(DoH、DNS over HTTPS)的測試支持,並打算在 100 月底預設為美國用戶啟用該技術。 啟動將逐步進行,最初針對百分之幾的用戶,如果沒有問題,則逐漸增加到 XNUMX%。 一旦美國被納入其中,衛生部將考慮將其納入其他國家。
全年進行的測試顯示了該服務的可靠性和良好性能,並且還可以識別 DoH 可能導致問題的一些情況並製定解決方案來規避這些問題(例如,拆卸的 內容交付網路、家長監護和公司內部 DNS 區域的流量優化)。
加密 DNS 流量的重要性被評估為保護使用者的根本性重要因素,因此決定預設啟用 DoH,但第一階段僅針對來自美國的使用者。 啟動DoH 後,用戶將收到一條警告,如果需要,用戶將可以拒絕聯繫集中式DoH DNS 伺服器,並返回到向提供者的DNS 伺服器發送未加密請求的傳統方案(而不是DNS 解析器的分散式基礎設施) DoH 使用綁定到特定的 DoH 服務,這可以被視為單點故障)。
如果啟動 DoH,則使用僅限內部網路的 DNS 名稱結構來解析 Intranet 位址和公司主機的家長監護系統和公司網路可能會受到干擾。 為了解決此類系統的問題,新增了一個自動停用 DoH 的檢查系統。 每次啟動瀏覽器或偵測到子網路變更時都會執行檢查。
如果在透過 DoH 解決期間發生故障(例如,如果 DoH 提供者的網路可用性中斷或其基礎設施發生故障),也可以自動返回使用標準作業系統解析器。 此類檢查的意義值得商榷,因為沒有人能夠阻止控制解析器操作或能夠幹擾流量的攻擊者模擬類似行為以停用 DNS 流量加密。 透過在設定中新增「DoH Always」項目(靜默不活動)解決了該問題,設定後,不會套用自動關機,這是一個合理的折衷方案。
為了識別企業解析器,會檢查非典型的一階域 (TLD),系統解析器會傳回 Intranet 位址。 為了確定是否啟用了家長控制,會嘗試解析名稱 exampleadultsite.com,如果結果與實際 IP 不匹配,則認為成人內容阻止在 DNS 層級處於活動狀態。 Google 和 YouTube IP 位址也會作為標誌進行檢查,以查看它們是否已被restrict.youtube.com、forcesafesearch.google.com 和restrictmoderate.youtube.com 取代。 額外的 Mozilla 實施單一測試主機 ,ISP 和家長監護服務可以將其用作禁用 DoH 的標誌(如果未偵測到主機,Firefox 將停用 DoH)。
透過單一 DoH 服務工作也可能導致使用 DNS 平衡流量的內容分發網路中的流量最佳化問題(CDN 網路的 DNS 伺服器會考慮解析器位址產生回應,並提供最近的主機來接收內容)。 從此類 CDN 中最接近使用者的解析器發送 DNS 查詢會導致傳回最接近使用者的主機位址,但從集中式解析器發送 DNS 查詢將傳回最接近 DNS-over-HTTPS 伺服器的主機位址。 實踐測試表明,在使用CDN 時使用DNS-over-HTTP 幾乎不會導致內容傳輸開始前出現任何延遲(對於快速連接,延遲不會超過10 毫秒,在慢速通訊通道上甚至可以觀察到更快的性能) )。 也考慮使用 EDNS 客戶端子網擴充來向 CDN 解析器提供客戶端位置資訊。
讓我們回想一下,DoH 可用於防止透過提供者的 DNS 伺服器洩漏有關所請求主機名稱的資訊、對抗 MITM 攻擊和 DNS 流量欺騙、對抗 DNS 等級的阻塞,或在發生以下情況時組織工作:無法直接存取DNS 伺服器(例如,透過代理程式工作時)。 如果在正常情況下 DNS 請求直接傳送到系統設定中定義的 DNS 伺服器,那麼在 DoH 的情況下,確定主機 IP 位址的請求將封裝在 HTTPS 流量中並傳送到 HTTP 伺服器,解析器在其中處理透過Web API 發出請求。 現有的DNSSEC標準僅使用加密來驗證客戶端和伺服器,但不能保護流量不被攔截,也不能保證請求的機密性。
若要在 about:config 中啟用 DoH,您必須變更 network.trr.mode 變數的值,該變數自 Firefox 60 起受支援。值為 0 會完全停用 DoH;值為 1 會完全停用 DoH。 2 - 使用 DNS 或 DoH,以速度更快者為準; 3 - 預設使用 DoH,並使用 DNS 作為後備選項; 4 - 僅使用 DoH; 9.9.9.9 - 並行使用 DoH 和 DNS 的鏡像模式。 預設情況下,使用CloudFlare DNS伺服器,但可以透過network.trr.uri參數進行更改,例如,您可以設定「https://dns.google.com/experimental」或「https://XNUMX」 .XNUMX/ dns-查詢“
來源: opennet.ru