Mozilla повідомили про проведення експерименту з DNS-over-HTTPS (DoH)
Mozilla повідомили про проведення експерименту з DNS-over-HTTPS (DoH)
Mozilla повідомила про проведення експерименту з DNS-over-HTTPS (DoH) — новим мережевим протоколом, що шифрує запити та відповіді системи доменних імен (DNS). В рамках експерименту дослідники зберуть інформацію про те, скільки користувачів браузера Firefox із США використовують систему батьківського контролю та корпоративні конфігурації DNS.
У цьому дослідженні буде згенеровано DNS-запити з браузерів учасників для виявлення батьківського контролю на рівні DNS. Тестові домени, якими керують відомі провайдери, спробують визначити, чи ввімкнено батьківський контроль у мережі. Наприклад, OpenDNS управляє сайтом exampleadultsite.com, який не є порталом для дорослих, але є у списках блокування деяких провайдерів. Дані провайдери часто блокують доступ до подібним web-сайтам, повертаючи неправильну IP-адресу для пошуку DNS.
У рамках цього тесту розробники дозволили доступ до exampleadultsite.com. Згідно з OpenDNS, доменне ім'я має дозволятися лише за адресою 146.112.255.155, і якщо повертається інша адреса, це говорить про включений батьківський контроль на рівні DNS. Браузер не підключатиметься або завантажуватиме будь-який контент з веб-сайту.
Також розробники протестують IP-адреси, що повертаються для Google та YouTube, для перевірки їх заміни на restrict.youtube.com, forcesafesearch.google.com та restrictmoderate.youtube.com.
Для виявлення використання внутрішніх корпоративних резолверів хости, що визначаються при відкритті сайтів, будуть перевірені на предмет використання нетипових доменів першого рівня (TLD) та повернення для них інтранет-адрес. Мотивом проведення експерименту стали побоювання, що включення по замовчуванням DNS-over-HTTPS може порушити роботу функціонуючих через DNS систем батьківського контролю, а також створити проблеми для користувачів корпоративних мереж, які використовують DNS-сервери, що дають відомості про внутрішні домени, які не видно у зовнішній мережі.
Новий протокол DoH може виявитися корисним для виключення витоків відомостей про запитовані імена хостів через DNS-сервери провайдерів, боротьби з MITM-атаками та заміною DNS-трафіку, захисту від блокувань на рівні DNS або для організації роботи у разі неможливості прямого звернення до DNS-сервери. У звичайній ситуації DNS-запити безпосередньо відправляються на визначені в конфігурації системи DNS-сервери, а у разі DoH запит на визначення IP-адреси хоста інкапсулюється в трафік HTTPS і відправляється на HTTP-сервер, на якому резолвер обробляє запити через Web API. >
Для включення DoH в about:config користувачеві необхідно змінити значення змінної network.trr.mode, що підтримується починаючи зі збирання Firefox 60. Значення 0 відключає DoH, 1 - використовує DNS або DoH, в залежності від швидкості, 2 - використовує DoH за замовчуванням, а DNS як альтернатива, 3 - використовується тільки DoH, 4 - паралельне задіяння DoH та DNS. За замовчуванням використовується DNS-сервер CloudFlare, але його можна змінити через параметр network.trr.uri, наприклад, можна встановити "https://dns.google.com/experimental" або "https://9.9.9.9/dns-query ".
Відмовитися від участі в експерименті можна через сторінку "about:studies" (дослідження представлене у списку як "Detection Logic for DNS-over-HTTPS").
