Mozilla berencana untuk mengaktifkan DNS melalui HTTPS di Firefox

Pengembang Firefox mengumumkan penyelesaian uji dukungan DNS melalui HTTPS (DoH) serta niat pada akhir September untuk mengaktifkan teknologi ini secara default untuk pengguna Firefox di Amerika Serikat.

Penyertaan akan dilakukan secara progresif karena pada awalnya hanya akan ada beberapa pengguna, setelah itu tanpa adanya masalah, secara bertahap akan meningkat hingga 100% pengguna di Amerika Serikat memiliki fitur ini. Tapi ini tidak eksklusif untuk kawasan itu sejak setelah menyelesaikan cakupan AS. UU implementasi di negara lain juga akan dipertimbangkan.

Pengujian yang dilakukan sepanjang tahun menunjukkan keandalan dan kinerja layanan yang baik dan juga mengungkapkan beberapa situasi di mana DoH dapat menghasilkan masalah dan mengembangkan solusi untuk menghindarinya (misalnya, masalah dengan optimasi lalu lintas di jaringan pengiriman konten, kontrol orang tua dan kontrol internal perusahaan).

Pentingnya mengenkripsi lalu lintas DNS dinilai sebagai faktor penting yang mendasar dalam perlindungan pengguna, jadi diputuskan untuk mengaktifkan DoH secara default, tetapi pada tahap pertama hanya untuk pengguna AS. UU

Setelah mengaktifkan DoH, peringatan akan diberikan kepada pengguna, yang akan memungkinkan Anda untuk menolak menghubungi server DNS terpusat DoH dan kembali ke skema tradisional untuk mengirim permintaan yang tidak dienkripsi ke server DNS penyedia (bukan infrastruktur solver DNS yang didistribusikan, DoH menggunakan tautan ke layanan DoH spesifik, yang dapat dianggap sebagai satu titik kegagalan).

Ketika DoH diaktifkan, sistem kontrol orang tua dan jaringan perusahaan dapat terpengaruh, menggunakan struktur nama DNS yang tersedia hanya untuk jaringan internal untuk mengonversi alamat intranet dan host perusahaan.

Untuk mengatasi masalah dengan sistem yang serupa, sistem verifikasi telah ditambahkan yang secara otomatis menonaktifkan DoH. Pemeriksaan dilakukan setiap kali browser dimulai atau ketika perubahan dalam subnet terdeteksi.

Pengembalian otomatis ke penggunaan solver standar juga disediakan. sistem operasi jika terjadi kegagalan untuk diselesaikan melalui DoH (misalnya, jika ada pelanggaran ketersediaan jaringan dengan penyedia DoH atau jika ada kegagalan dalam infrastrukturnya).

Arti dari pemeriksaan tersebut diragukan, karena tidak ada yang mengganggu penyerang yang mengendalikan resolver atau dapat mengganggu lalu lintas, mensimulasikan perilaku itu untuk menonaktifkan enkripsi lalu lintas DNS.

Masalahnya dipecahkan dengan menambahkan elemen "DoH always" ke konfigurasi (secara default tidak aktif), ketika dikonfigurasi, shutdown otomatis tidak diterapkan, yang merupakan kompromi yang masuk akal.

Untuk menentukan pemecah korporat, domain atypical level (TLD) tingkat pertama memeriksa dan mengembalikan alamat intranet oleh pemecah sistem.

Untuk menentukan apakah kontrol orangtua diaktifkan, cobalah untuk menyelesaikan nama exampleadultsite.com dan jika hasilnya tidak cocok dengan IP asli, konten dewasa dianggap diblokir di tingkat DNS.

Bekerja melalui layanan DoH tunggal itu juga dapat menyebabkan masalah optimasi lalu lintas pada jaringan pengiriman konten yang menyeimbangkan lalu lintas menggunakan DNS (server DNS dari jaringan CDN menghasilkan respons berdasarkan alamat resolusi dan mengeluarkan host terdekat untuk menerima konten).

Mengirim permintaan DNS dari pemecah yang paling dekat dengan pengguna pada CDN tersebut akan mengembalikan alamat host yang terdekat dengan pengguna, tetapi ketika mengirim permintaan DNS dari resolver pusat, alamat host yang paling dekat dengan server DNS melalui HTTPS akan dikembalikan .

Pengujian dalam praktek menunjukkan bahwa penggunaan DNS melalui HTTP ketika menggunakan CDN praktis tidak menyebabkan penundaan sebelum transfer konten (untuk koneksi cepat, penundaan tidak melebihi 10 milidetik, dan bahkan operasi yang lebih lambat diamati pada saluran komunikasi lambat).

Sumber: https://blog.mozilla.org/