Na ODVR podporujeme také DNS-over-HTTPS

V mém nedávném blogpostu jsem informoval o spuštění nového ODVR, tedy našich DNS resolverů pro veřejnost. Nové ODVR provozujeme na k tomu určeném DNS anycastu s námi vyvíjeným resolverem, kterým je KNOT Resolver. Současně se spuštěním nového ODVR jsme zprovoznili i podporu šifrované komunikace DNS-over-TLS (DoT).

Nyní přicházíme ještě s podporou protokolu DNS-over-HTTPS (DoH). Vedle DoT se tedy jedná o další možnost, jak šifrovat spojení mezi klientem a DNS resolverem. Pro využití DoH zbývá už jen správně nastavit váš internetový prohlížeč.

Nastavení DoH

DoH si můžete vyzkoušet ve Firefoxu od verze 62, Chrome od verze 66 nebo Bromite od verze 67.

Nastavení ve Firefoxu je velice jednoduché. Přejděte do menu „Předvolby“, v menu „Obecné“ zcela dole najděte sekci „Nastavení sítě“ a klikněte na tlačítko „Nastavení“. Zaškrtněte „Zapnout DNS přes HTTPS“ a do pole „Vlastní“ vložte URI „https://odvr.nic.cz/doh“.

Alternativně lze DoH aktivovat i v pokročilém nastavení „about:config“ vyhledáním řetězců network.trr.uri, network.trr.mode a případně i network.trr.bootstrapAddress.

Výše uvedené nastavení, stejně tak i pro protokol DoT, je dostupné také v rámci webové prezentace https://www.nic.cz/odvr.

Protokol DNS-over-HTTPS je provozován v experimentálním modu a doporučujeme spíše používat pro šifrovanou komunikaci protokol DNS-over-TLS. Určitě ale budeme moc rádi za Vaši zpětnou vazbu s použitím DoT a zejména DoH.

Ověřit funkčnost DoH si můžete např. pohledem do síťového provozu, pomocí nástroje tcpdump.

Měli byste vidět podobný výstup jako na obrázku výše, tedy provoz na portu TCP/443 a nečitelný obsah packetů.

I při použití protokolu DoH platí, že nefiltrujeme žádné DNS dotazy, vyjma privátních IPv4 a IPv6 rozsahů.

Vypnutí původního ODVR

Původní ODVR běží z jedné části na samostatných serverech s fail-overem (IP adresy 217.31.204.130, 2001:1488:800:400::130) a z druhé části na DNS anycastu pro .CZ doménu (IP adresy 193.29.206.206, 2001:678:1::206). Využití obou prostředí je nerovnoměrné a většinu provozu odbavují právě ne-anycastové servery, jak ukazuje následující graf.

Využití anycastových serverů se pohybuje okolo 25 % celkového provozu. Protože chceme ODVR z bezpečnostích důvodů zcela oddělit z DNS anycastu pro .CZ doménu, přednostně odstavíme právě tuto skupinu IP adres, tedy 193.29.206.206, 2001:678:1::206. Jelikož jde o dlouhodobý proces, provedeme to až v okamžiku, kdy provoz na této části ODVR klesne pod 1 % celkového provozu.

Vzhledem k tomu, že se ODVR používá i na routerech Turris, částečný pokles provozu zajistíme změnou DNS resolverů v rámci release TurrisOS. Nové adresy jsou již použity v nedávno vydané verzi TurrisOS 4.0 beta 1, pro TurrisOS 3.x budou dostupné v následující aktualizaci.

Další oslabení provozu zajistíme kontaktováním ISP poskytovatelů, od kterých přichází nejvíce DNS provozu.

Autor:

Komentáře (6)

  1. Josef Bunes říká:

    Zkoušel jsem Cloudflared klienta https://developers.cloudflare.com/argo-tunnel/downloads/
    nastavit na DoH a hází mi chybu:
    level=error msg=“failed to connect to an HTTPS backend \“https://185.43.135.1/doh\““ error=“failed to perform an HTTPS request: Post https://185.43.135.1/doh: x509: cannot validate certificate for 185.43.135.1 because it doesn’t contain any IP SANs“

    Při stejné konfiguraci s https://1.1.1.1/dns-query to funguje.

  2. Petr Špaček říká:

    Dobrý den,

    nemám zkušenosti se softwarem o kterém mluvíte, tak odpovím obecně:

    Naše ODVR používá certifikát, který obsahuje pouze jméno a ne IP adresu. Pro ověření certifikátu je proto potřeba použít URL „https://odvr.nic.cz/doh“.

    Např. Firefox problém slepice-vejce řeší tak, že v nastavení about:config se zadává v jedné položce URL se jménem a ve druhé položce IP adresa. Zkuste se podívat, jestli najdete podobné nastavení ve vašem software.

    Petr Špaček

  3. Michal Soppe říká:

    Zkoušel jsem nastavit pod routeros v 6.48 a DNS hazí chybu „DoH server connection error: remote disconnected while in HTTP exchange“

    stejná chyba při nastavení DOH url: „https://odvr.nic.cz/doh“ i “ „https://odvr.nic.cz/dns-query“

    Michal Soppe

    • Václav Steiner říká:

      Dobrý den,

      od prosince 2020 běží na ODVR přepracovaná implementce DoH (viz https://blog.nic.cz/2020/12/01/doh-na-odvr-ostre-a-v-chrome/), která již využívá výhradně HTTP/2.

      Pokud vám Mikrotik vrací tuto chybu, předpokládám, že si s tím protokolem bohužel nerozumí.

      Václav Steiner

  4. Jan Vokurka říká:

    Dobrý den,
    mám problém na Mikrotiku (RouterOS) stabilní verze 7.1.5, že mi to při nastavení DoH na adresu https://odvr.nic.cz/dns-query, jak je uvedeno v návodu, tak mi to vrací chybu:

    „DoH server connection error: remote disconnected while in HTTP exchange“

    Funguje tedy, prosím, DoH na NIC.CZ ODVR veřejně pro všechny, na všem, nebo je to jenom pro routery „vyvolených“ (drahých Turrisech – oproti Mikrotiku) a také pouze přes webové prohlížeče (Chrome/Firefox)?

    Předem Vám moc děkuji za odpověď.
    Jan Vokurka

    • Lukáš Vacek říká:

      Dobrý den,
      ODVR je přístupné pro všechny včetně DoH a DoT. Důvod proč dostáváte chybnou odpověď je nejspíše způsobená HTTP/2. DoH běží výhradně na HTTP/2. O této informaci jsme také psali blogpost https://blog.nic.cz/2020/12/01/doh-na-odvr-ostre-a-v-chrome/. Podotkl bych, že tento problém kombinace DoH, Mikrotik a HTTP/2 byl zde již řešen a nenarážíte tak na ojedinělý problém.

      Mimo jiné k ověření dostupnosti můžete vyzkoušet utilitu kdig (https://www.knot-dns.cz/docs/3.0/html/man_kdig.html). „$ kdig +https @odvr.nic.cz nic.cz“

      Děkuji,
      Lukáš Vacek

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..