Los desarrolladores de Firefox anunciaron la finalización de las pruebas de soporte de DNS a través de HTTPS (DoH) así mismo como la intención a fines de septiembre de habilitar esta tecnología de manera predeterminada para los usuarios de Firefox en los Estados Unidos.
La inclusión se llevará a cabo progresivamente ya que de manera inicial solo serán pocos usuarios, después de ello en ausencia de problemas, aumentará gradualmente hasta que el 100% de los usuarios en Estados Unidos cuenten con esta característica. Pero esto no es exclusivo de la región ya que después de completar la cobertura de EE. UU. también se considerará la implementación en otros países.
Las pruebas realizadas durante el año mostraron la confiabilidad y el buen rendimiento del servicio y también revelaron algunas situaciones en las que DoH puede generar problemas y desarrollar soluciones para eludirlos (por ejemplo, problemas con la optimización del tráfico en las redes de entrega de contenido, el control parental y el control interno corporativo).
La importancia de cifrar el tráfico DNS se evalúa como un factor fundamentalmente importante en la protección de los usuarios, por lo que se decidió activar DoH de forma predeterminada, pero en la primera etapa solo para usuarios de los EE. UU.
Después de activar DoH, se emitirá una advertencia para el usuario, que le permitirá negarse a ponerse en contacto con servidores DNS centralizados de DoH y volver al esquema tradicional para enviar solicitudes no encriptadas al servidor DNS del proveedor (en lugar de la infraestructura distribuida de solucionadores de DNS, DoH utiliza el enlace a un servicio DoH específico , que puede considerarse como un único punto de falla).
Cuando DoH está activado, los sistemas de control parental y las redes corporativas pueden verse afectados, utilizando la estructura de nombres DNS disponible solo para la red interna para convertir direcciones de intranet y hosts corporativos.
Para resolver problemas con sistemas similares, se ha agregado un sistema de verificación que deshabilita automáticamente DoH. Las comprobaciones se realizan cada vez que se inicia el navegador o cuando se detecta un cambio en la subred.
También se proporciona un retorno automático al uso de un solucionador estándar del sistema operativo en caso de fallas al resolver a través de DoH (por ejemplo, si hay una violación de la disponibilidad de la red con el proveedor de DoH o si hay fallas en su infraestructura).
El significado de tales comprobaciones es dudoso, ya que nadie interfiere con los atacantes que controlan el resolutor o pueden interferir con el tráfico, simulan ese comportamiento para deshabilitar el cifrado del tráfico DNS.
El problema se resolvió agregando el elemento «DoH always» a la configuración (por defecto no está activo), cuando se configura, no se aplica el apagado automático, lo cual es un compromiso razonable.
Para determinar los solucionadores corporativos, se realizan comprobaciones de dominios atípicos de primer nivel (TLD) y la devolución de direcciones de intranet por parte del solucionador del sistema.
Para determinar si el control parental está habilitado, se intenta resolver el nombre exampleadultsite.com y si el resultado no coincide con la IP real, se considera que el contenido para adultos está bloqueado en el nivel DNS.
El trabajo a través de un único servicio DoH también puede conducir a problemas de optimización del tráfico en las redes de entrega de contenido que equilibran el tráfico utilizando DNS (el servidor DNS de la red CDN genera una respuesta basada en la dirección de resolución y emite el host más cercano para recibir el contenido).
El envío de una consulta DNS desde el solucionador más cercano al usuario en tales CDN devolverá la dirección del host más cercano al usuario, pero al enviar una consulta DNS desde el resolutor central, se devolverá la dirección del host más cercano al servidor DNS sobre HTTPS.
Las pruebas en la práctica mostraron que el uso de DNS sobre HTTP cuando se usa CDN prácticamente no condujo a demoras antes de la transferencia de contenido (para conexiones rápidas, las demoras no superaron los 10 milisegundos, e incluso se observó una operación más lenta en canales de comunicación lentos).
Fuente: https://blog.mozilla.org/