Firefox开发人员宣布完成基于HTTPS的DNS支持测试 (卫生部) 并计划在XNUMX月底启用该技术 默认 适用于美国的Firefox用户。
由于最初将只有几个用户,因此将逐步进行包含,此后,在没有问题的情况下,它将逐渐增加,直到美国100%的用户具有此功能。 但这并不是该地区在完成美国报道后所独有的。 也将考虑在其他国家/地区实施.
一年中进行的测试表明该服务的可靠性和良好的性能 他们还揭示了DoH可能会产生问题并开发解决方案的一些情况(例如,内容交付网络中的流量优化,父母控制和公司内部控制方面的问题)。
评估DNS流量加密的重要性是根本的重要因素 为了保护用户,因此决定默认启用DoH,但在第一阶段仅针对美国用户。
激活DoH后,将向用户发出警告,这将允许您拒绝联系集中式DoH DNS服务器,并恢复到向提供商的DNS服务器发送未加密请求的传统方案(DoH使用绑定到DoH服务的绑定,而不是使用DNS解析器的分布式基础架构,单点故障)。
启用DoH后,家长控制系统和公司网络可能会受到影响, 使用仅适用于内部网络的DNS名称结构来转换Intranet地址和公司主机。
为了解决类似系统的问题,已添加了一个自动禁用DoH的验证系统。 每次启动浏览器或检测到子网更改时都执行检查。
还提供了自动返回到使用标准求解器的功能 在通过DoH解决时出现故障的情况下(例如,如果DoH提供程序违反了网络的可用性,或者其基础架构中出现故障),则对操作系统进行更改。
这种检查的含义令人怀疑,因为没有人会干扰控制解析器的攻击者或会干扰流量,因此他们会模拟这种行为以禁用DNS流量的加密。
通过向配置中添加“始终执行DoH”元素(默认情况下它不处于活动状态)解决了该问题,在配置该属性时,不应用自动关闭功能,这是一个合理的折衷方案。
为了确定公司求解器,需要执行离群顶级域(TLD)的检查以及系统求解器返回的Intranet地址。
要确定是否启用了家长控制,请尝试解析名称exampleadultsite.com,如果结果与实际IP不匹配,则认为成人内容在DNS级别被阻止。
通过单个DoH服务工作 也会导致流量优化问题 在使用DNS平衡流量的内容分发网络上(CDN的DNS服务器基于解析器地址生成响应,并广播最近的主机以接收内容)。
在此类CDN上从最接近用户的解析器发送DNS查询将返回最接近用户的主机的地址,但是从中央解析器发送DNS查询将通过HTTPS返回最靠近DNS服务器的主机的地址。
实践测试表明,使用CDN时在HTTP上使用DNS几乎不会导致内容传输之前的延迟(对于快速连接,延迟不超过10毫秒,并且在慢速的通信通道中观察到的运行速度甚至更低)。
数据来源: https://blog.mozilla.org/