Na ODVR podporujeme také DNS-over-HTTPS

V mém nedávném blogpostu jsem informoval o spuštění nového ODVR, tedy našich DNS resolverů pro veřejnost. Nové ODVR provozujeme na k tomu určeném DNS anycastu s námi vyvíjeným resolverem, kterým je KNOT Resolver. Současně se spuštěním nového ODVR jsme zprovoznili i podporu šifrované komunikace DNS-over-TLS (DoT).

Nyní přicházíme ještě s podporou protokolu DNS-over-HTTPS (DoH). Vedle DoT se tedy jedná o další možnost, jak šifrovat spojení mezi klientem a DNS resolverem. Pro využití DoH zbývá už jen správně nastavit váš internetový prohlížeč.

Nastavení DoH

DoH si můžete vyzkoušet ve Firefoxu od verze 62, Chrome od verze 66 nebo Bromite od verze 67.

Nastavení ve Firefoxu je velice jednoduché. Přejděte do menu „Předvolby“, v menu „Obecné“ zcela dole najděte sekci „Nastavení sítě“ a klikněte na tlačítko „Nastavení“. Zaškrtněte „Zapnout DNS přes HTTPS“ a do pole „Vlastní“ vložte URI „https://odvr.nic.cz/doh“.

Alternativně lze DoH aktivovat i v pokročilém nastavení „about:config“ vyhledáním řetězců network.trr.uri, network.trr.mode a případně i network.trr.bootstrapAddress.

Výše uvedené nastavení, stejně tak i pro protokol DoT, je dostupné také v rámci webové prezentace https://www.nic.cz/odvr.

Protokol DNS-over-HTTPS je provozován v experimentálním modu a doporučujeme spíše používat pro šifrovanou komunikaci protokol DNS-over-TLS. Určitě ale budeme moc rádi za Vaši zpětnou vazbu s použitím DoT a zejména DoH.

Ověřit funkčnost DoH si můžete např. pohledem do síťového provozu, pomocí nástroje tcpdump.

Měli byste vidět podobný výstup jako na obrázku výše, tedy provoz na portu TCP/443 a nečitelný obsah packetů.

I při použití protokolu DoH platí, že nefiltrujeme žádné DNS dotazy, vyjma privátních IPv4 a IPv6 rozsahů.

Vypnutí původního ODVR

Původní ODVR běží z jedné části na samostatných serverech s fail-overem (IP adresy 217.31.204.130, 2001:1488:800:400::130) a z druhé části na DNS anycastu pro .CZ doménu (IP adresy 193.29.206.206, 2001:678:1::206). Využití obou prostředí je nerovnoměrné a většinu provozu odbavují právě ne-anycastové servery, jak ukazuje následující graf.

Využití anycastových serverů se pohybuje okolo 25 % celkového provozu. Protože chceme ODVR z bezpečnostích důvodů zcela oddělit z DNS anycastu pro .CZ doménu, přednostně odstavíme právě tuto skupinu IP adres, tedy 193.29.206.206, 2001:678:1::206. Jelikož jde o dlouhodobý proces, provedeme to až v okamžiku, kdy provoz na této části ODVR klesne pod 1 % celkového provozu.

Vzhledem k tomu, že se ODVR používá i na routerech Turris, částečný pokles provozu zajistíme změnou DNS resolverů v rámci release TurrisOS. Nové adresy jsou již použity v nedávno vydané verzi TurrisOS 4.0 beta 1, pro TurrisOS 3.x budou dostupné v následující aktualizaci.

Další oslabení provozu zajistíme kontaktováním ISP poskytovatelů, od kterých přichází nejvíce DNS provozu.

Autor:

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.

This site uses Akismet to reduce spam. Learn how your comment data is processed.