Разработчики Firefox объявили о завершении тестирования поддержки DNS over HTTPS (ДоХ) а также намерение в конце сентября включить эту технологию по умолчанию для пользователей Firefox в США.
Включение будет происходить постепенно, так как изначально будет всего несколько пользователей, после этого, при отсутствии проблем, оно будет постепенно увеличиваться, пока 100% пользователей в США не получат эту функцию. Но это не является уникальным для региона, как после завершения покрытия США. реализация в других странах также будет рассмотрена.
Проведенные в течение года испытания показали надежность и хорошую работу сервиса. Кроме того, они выявили некоторые ситуации, в которых DoH может создавать проблемы и разрабатывать решения для их обхода (например, проблемы с оптимизацией трафика в сетях доставки контента, родительским контролем и внутренним контролем компании).
Важность шифрования DNS-трафика оценивается как принципиально важный фактор. в защите пользователей, поэтому было решено включить DoH по умолчанию, но на первом этапе только для пользователей из США.
После активации DoH пользователю будет выдано предупреждение., что позволит вам отказаться от связи с централизованными DNS-серверами DoH и вернуться к традиционной схеме отправки незашифрованных запросов на DNS-сервер провайдера (вместо распределенной инфраструктуры DNS-преобразователей DoH использует привязку к службе DoH, которую можно рассматривать как единая точка отказа).
Когда DoH активирован, это может повлиять на системы родительского контроля и корпоративные сети, использование структуры DNS-имен, доступной только для внутренней сети, для преобразования адресов интрасети и корпоративных хостов.
Для решения проблем с аналогичными системами добавлена система проверки, которая автоматически отключает DoH. Проверки выполняются каждый раз при запуске браузера или при обнаружении изменения в подсети.
Также предусмотрен автоматический возврат к использованию стандартного решателя. операционной системы в случае сбоев при разрешении через DoH (например, при нарушении доступности сети у поставщика DoH или при сбоях в его инфраструктуре).
Смысл таких проверок сомнительный, поскольку никто не мешает злоумышленникам, которые контролируют резолвер или могут вмешиваться в трафик, они имитируют это поведение, чтобы отключить шифрование трафика DNS.
Проблема решилась добавлением в конфигурацию элемента «DoH always» (по умолчанию он не активен), при его настройке автоматическое выключение не применяется, что является разумным компромиссом.
Чтобы определить корпоративные решатели, выполняются проверки на наличие резко отклоняющихся доменов верхнего уровня (TLD) и возврат адресов интрасети системным решателем.
Чтобы определить, включен ли родительский контроль, предпринимается попытка разрешить имя exampleadultsite.com, и если результат не соответствует фактическому IP-адресу, контент для взрослых считается заблокированным на уровне DNS.
Работа через единую службу DoH также может привести к проблемам с оптимизацией трафика в сетях доставки контента, которые балансируют трафик с помощью DNS (DNS-сервер CDN генерирует ответ на основе адреса преобразователя и транслирует ближайший хост для получения контента).
Отправка DNS-запроса от ближайшего к пользователю преобразователя в таких CDN вернет адрес ближайшего к пользователю хоста, но отправка DNS-запроса от центрального преобразователя вернет адрес хоста, ближайшего к DNS-серверу по HTTPS.
Практические тесты показали, что использование DNS over HTTP при использовании CDN практически не приводило к задержкам перед передачей контента (для быстрых подключений задержки не превышали 10 миллисекунд, а в медленных каналах связи наблюдалась еще более медленная работа).
источник: https://blog.mozilla.org/