DNS-over-HTTPS (DoH) engedélyezése Firefox böngészőben

 ( trey | 2019. július 7., vasárnap - 9:25 )

The DNS-over-HTTPS (DoH) protocol is currently the talk of the town, and the Firefox browser is the only one to support it. [...] This also means that apps that support DoH can effectively bypass local ISPs traffic filters and access content that may be blocked by a local telco or local government -- and a reason why DoH is currently hailed as a boon for users' privacy and security.

A lépésről lépésre beállítás leírása itt. További infók a Mozilla wikijében.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Beállítottam "3"-ra (kizárólag DoH), meglátjuk hogy szuperál. Eddig működik.

--
trey @ gépház

Nem működik a kizárólagossággal, gondolom, maga a DoH nem megy... Hmmm...
Szerk.: Nálam csak az opcionális DoH-compatible DNS resolverrel, az 1.1.1.1-gyel megy.
Most találjam ki, melyik a DNS szervere a böngészőmnek!

"effectively bypass local ISPs traffic filters" ... a macska-egér játék újabb szintre léphet, szivassuk csak a rendszerüzemeltetőket.

Nem csak a rendszer üzemeltetőket:

By planning to support DNS-over-HTTPS, Mozilla is throwing a monkey wrench in many ISPs' ability to sniff on customers' traffic and filter traffic for government-mandated "bad sites."
Source
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Nem nagyon értem a sirámokat. Eddig a privacy volt a fő cél. Most itt egy lépés a privacy felé, ami miatt az ISP-k elkezdenek sipárogni, hogy "jaj, hát kikerülik vele a filtereket".

Oké. Tovább?

--
trey @ gépház

Tokre nem olvastam utana semminek, de hogy erinti ez a local DNS szervereket, ha minden bypass? Teszem azt a gep LAN-ban van, es a helyi DNS szerver kiszolgal egy rakas hostnevet ami *CSAK* a belso halorol elerheto.

Akkor most ezek nem fognak feloldodni Firefoxban, vagy mi? Es meg csak nem is filterezni, logolni, meg ilyesmit akarok, erted... Eddig is kurva nagy szopas volt, hogy az userek fele 8.8.8.8-at allitott be DNS szervernek, aztan meg jott rinyalva h. a "host amit megadtal nem letezik", ezt vegul megoldottam ugy h. force-redirect minden kimeno DNS requestet a belso DNS szerverre, most akkor ez ugrott. Remek.

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

network.trr.mode == 3 eseten pontosan az a gond van, amit mondasz, lokalis LAN-on elerheto DNS nevek eltunnek a sullyesztoben. 2-es ertek mellett (DoH mellett lesz backup DNS query is) nincs ilyen problema.

Mondjuk nalam out of the box egyaltalan nem mukodott a DoH, meg kellett adni egy network.trr.bootstrapAddress-t is (gyarilag ez ures volt).

Most hogy kiprobaltam, megyek vissza a rendes DNS-re.

Hogy részletesebben leírjam: ki van adva feladatul, hogy facebook.com, stb. nincs a cégnél.
Eddig a lokál DNS-ből behazudtunk egy nem létező címet. A hosts fájlt a user nem tudta birizgálni.

Jövőben? Ha HTTPs feletti webDNS lesz, kénytelenek leszünk kibontani a HTTPs forgalmat.
Pivacy? Nem érzem hogy a fő cél teljesülne a HTTPs forgalomba való belenézéssel.

A macska-egér játék kimenetele így nem biztos, hogy a user érdekét fogja szolgálni.

Ne, akkor most már lehet jobb/olcsóbb lesz megbízni az emberekben? :-)

Céges felhasználáson kívül is van élet.

--
Sent from my OnePlus 5T

Mondjuk senki sem allitotta az ellenkezojet.. :)

És a DNS beállítást tudja a user birizgálni?

Hát igen, de jó is lenne, ha a Mozilla már másfél évvel ezelőtt tett volna Group policy támogatást a böngészőjébe, hogy Winen is kényelmesen és központilag lehessen konfigurálni, és ha lenne erre beállítás benne (szerk.: nem tudom, lehet-e sort linkelni fájlban GitHub-on, mindenesetre: https://github.com/mozilla/policy-templates/blob/master/windows/en-US/firefox.adml <string id="DNSOverHTTPS">).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

> Jövőben? Ha HTTPs feletti webDNS lesz, kénytelenek leszünk kibontani a HTTPs forgalmat.

Ez nem fog működni, mert az SNI is titkosítva van: https://blog.cloudflare.com/encrypt-that-sni-firefox-edition/
Szóval max az egész cloudflare-t tudod csak kitiltani.

Nem kell kitiltani semmit. Csinálhatsz saját CA-t és mindent újracsomagolsz. A böngésző persze vinnyogni fog (jogosan), de hozzáadod megbízhatóként a CA-d a hivatalos céges böngészőbe és kész. Ha pedig a sajátját használja, akkor IJ.

A munkahelyemen pont ezt csinaljak. Csak tor browser-el bridged modba tudom megkerülni :(
---------------------------------------------
Support Slackware: https://paypal.me/volkerdi

Mondjuk ha az SNI encryptelve van ezzel a módszerrel, akkor egy kicsit nehezebb lesz a buli, mert nem látod, hogy milyen certet kellene hazudni a kliensnek.

Mondjuk pont ennél DoH-nál kicsit tyúk-tojás, mert ugye a publikus kulcs is a dnsben van, szóval ott ezt vagy nem játszák, vagy a sima dnssel játszák, akkor meg tulajdonképpen bele lehet harákolni egy saját publikus kulcsot. Kivéve, ha DNSsec, bár lehet azellen az se véd.

Szóval azért elsőre nem triviális :)

Az ukrán kollégám mondott valami hasonlót (mindketten Németországban dolgozunk), hogy Oroszországban mintha lenne valami hasonló már most is (vagy jóváhagytak hozzá valami törvényt és éppen vezetik be, nem emlékszem), hogy a szolgáltató felrakatja veled a saját HTTPS certjét mert államilag kötelező, és szétproxyzza a forgalmat mintha sima HTTP lenne, kész. így a hatalom nagyjából abba néz bele amibe akar, szevasz.

Nem kérdéses, hogy céges gépeken is így lesz (vagy már most is így van) ergó még annyi privacy-d sem lesz, mint korábban. GOTO 10.

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

"Nem kérdéses, hogy céges gépeken is így lesz"

Érdekes ez a nyugatról jövő terror magyar cég "rendszergazdájaként" nézve. Nálunk pl. fel sem merült a vezetés részéről ilyen igény még felvetés szintjén sem soha.

--
trey @ gépház

+1, a munkaido elkummantasahoz es a ceges adatok ellopasahoz is van ezer jobb modszer a facebookon kivul, nem ertem, minek a nagy elovigyazatossag - ha annyira nem bizik meg benned a munkaltato, akkor miert ad egyaltalan belepokartyat az irodahoz, es accountot a rendszerekhez?

+1

Kedvencem Oregon egyik kommentje volt, valahogy igy hangzott: "bizalom nelkul nincs uzlet".

Ez csak a szokásos játék, amit már az IT is jó pár évtizede nyom: A szoftver cégek igyekeznek egyre biztonságosabb termékeket csinálni (miközben azok komplexitását folyamatosan növelik), miközben csomó mindenkinek meg pont az lenne az érdeke, hogy a programok ne legyenek annyira biztonságosak, szóval elkezdenek újabb és újabb sérülékenységeket keresni, vagy épp megakadályozni, hogy adott technológia használható legyen (így, vagy úgy). Nem véletlenül volt tiltva US-ben az erős encryption jó ideig..
Ez most kb ugyan ez pepitában: Magasabb szinten szeretnék ha a userek mindennapi életébe bele tudnának szólni, de így már nem működne az a megoldás amivel ezt régebben meg tudták oldani.. Nincs itt kérem semmi látni való, csak a szokásos arms-defence race megy még mindig (és nincs sok esély arra, hogy ez valaha megálljon)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Sub

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

1
____________________
echo crash > /dev/kmem

Hát nemtudom...az álmoskönyv szerint a megbízhatóság és privacy szempontból sem jó ötlet az internet összes dns lekérését 1 cégre bízni.

https://ungleich.ch/en-us/cms/blog/2018/08/04/mozillas-new-dns-resolution-is-dangerous/

A linkelt cikk nagyon "jó" elrettentésként öreganyámnak, hogy miért ne állítsa be ezt. Nem is neki való az ilyen beállításokat túrni. Laikusnak hangzatosak a SPoF stb. szavak. A Cloudflare-ezésre pedig ott a cikkben is, hogy egy rakás DoH-kompatibilis szerver közül választsz, de magadnak is felállíthatsz egyet.

--
Sent from my OnePlus 5T

Maga az opció jó, de mint a cikkben is írták előbb-utóbb default lesz

Ez miben más mint az ssh tunnel, vpn vagy a proxy?
Vagy csak egy másik módja, a kliens "elrejtésének"?

Ezeket használva a DNS query-jeidet pont úgy látja az ISP, mintha egyiket sem használnád. Csak a pina.hu-t nem a te IP-dhez, hanem ahova tunnelezel, VPN-ezel, proxy-zol, annak az IP-jéhez köti.

--
trey @ gépház

Socks5 proxy a dns lekérdezéseket is támogatja: https://en.wikipedia.org/wiki/SOCKS#SOCKS5

Persze, ha firefoxban : "y.socks_remote_dns = false" akkor igen, de ellenkező esetben azt hiszem nem látja az ISP a DNS kéréseimet. Bár ebbe most már nem vagyok biztos.

Hogy érinti ez azt a fajta tartalomkiszolgálást, ahol a dns geoip alapján próbált a klienshez legközelebbi kiszolgálót visszaadni?
Pár helyen próbáltam utánanézni a doh féle edns client subnet támogatottságának, de mintha ez nem lenne mindenhol teljesen megoldott, vagy lehet, hogy annyira alap része, hogy fel sem tüntetik.

Némileg off: https://1.1.1.1/ mióta lehet ip címre https cert-et kérni?

Így elsőre ami legkorábbi találtam az a 99 januári RFC 2459.

Idézet:
Defined options include an Internet electronic mail address, a DNS name, an IP address, and a uniform resource identifier (URI).

Szerk.: fogalmazás van, közel éjfél van :(

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

+1: eredetileg a HTTPS IP alapú volt, az SNI viszonylag új dolog (2005 óta van). Pl. az első Android-ok nem is támogatták.
--
https://naszta.hu

Nem volt ip alapú akkor sem, a certet SNI nélkül is a domain-hez kapod. (nincs külön SNI-s meg nem SNI-s cert)
Az SNI csak azt engedte meg, hogy több SSL-es domaint szolgálj ki egy IP-ről.

Az SNI-s certben már nincs IP cím csak a domain. Régen pedig (mintha, de jó rég volt) kellett az IP is.
--
https://naszta.hu

Securing a Public IP Address - SSL Certificates
https://support.globalsign.com/customer/portal/articles/1216536

Note: Only public IP addresses can be used on OrganizationSSL certificates. You must be the owner of the public IP address as per the records held with the RIPE Network Coordination Centre (NCC).

Sőt! Korábban még engedékenyebbek voltak:
"Beginning 1 November, 2015, the CA/Browser Forum will prohibit the use of internal server names and reserved IP addresses in publicly-trusted SSL Certificates. This means if you normally receive SSL Certificates from a public CA (such as GlobalSign), you won't be able to use their certificates for internal server names any more."

Követem. Nagyon

Nekem nem mögy, bekapcsoltan nincs névfeloldás - kikapcsolva, majd a mellékelt linket meghívva (https://mozilla.cloudflare-dns.com/dns-query) ez fogad:
Nem kapcsolódott: lehetséges biztonsági probléma

A Firefox egy lehetséges biztonsági kockázatot észlelt, és nem lépett tovább a(z) mozilla.cloudflare-dns.com oldalra, mert ez a webhely biztonságos kapcsolatot igényel.

Mit tehet?

A(z) mozilla.cloudflare-dns.com oldal a HTTP Strict Transport Security (HSTS) nevű biztonsági házirendet használja, amely azt jelenti, hogy a Firefox csak biztonságosan kapcsolódhat hozzá. Nem adhat hozzá kivételt, hogy felkeresse ezt az oldalt.

A probléma valószínűleg a weboldallal van, és semmit sem tehet a megoldása érdekében. Értesítheti a weboldal rendszergazdáját a problémáról.)"
(Hibakód: SSL_ERROR_BAD_CERT_DOMAIN)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség