В Firefox будет проведён эксперимент, связанный с DNS-over-HTTPS

1 августа 2019 года

Разработчики Mozilla сообщили о проведении нового исследования в рамках подготовки к внедрению функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS). В ходе проводимого эксперимента на системах части пользователей релизов Firefox из США будет собрана статистика об использовании систем родительского контроля и корпоративных резолверов. Отказаться от участия в эксперименте можно через страницу "about:studies" (исследование представлено в списке как "Detection Logic for DNS-over-HTTPS").

Для исследования будут собраны обезличенные данные, включающие только счётчики, без указания конкретных адресов и доменов. Для выявления систем родительского контроля будет отправлен запрос на определение имени exampleadultsite.com и если он не совпадёт с фактическим IP, можно считать, что активна блокировка взрослого контента на уровне DNS. Также будут оценены IP-адреса возвращаемые для Google и YouTube, для проверки их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com.

Для выявления использования внутренних корпоративных резолверов определяемые при открытии сайтов хосты будут проверены на предмет использования нетипичных доменов первого уровня (TLD) и возвращения для них интранет-адресов. Мотивом проведения эксперимента стали опасения, что включение по умолчанию DNS-over-HTTPS может нарушить работу функционирующих через DNS систем родительского контроля, а также создать проблемы для пользователей корпоративных сетей, которые используют DNS-серверы, отдающие сведения о внутренних доменах, не видимых во внешней сети.

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика, противостояния блокировкам на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Для включения DoH в about:config следует изменить значение переменной network.trr.mode, которая поддерживается начиная с Firefox 60. Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/experimental(недоступная ссылка)" или "https://9.9.9.9/dns-query(недоступная ссылка)".