Rubriky: Firefox

Výsledky experimentu s DNS přes HTTPS

V červenci provedla Mozilla otestovala kvalitu řešení zabezpečeného DNS přes HTTPS. Pro pomalá připojení je rychlejší, ale způsobuje problémy u captive portálů.

První dvě otázky experimentu byly:

  1. Je DNS přes HTTPS dostatečně rychlé, aby mohlo nahradit tradiční DNS?
  2. Přináší DNS přes HTTPS nějaké nové problémy při navazování spojení?

V červenci tak 25 tisíc uživatelů Nightly verze 63, kteří souhlasili se zapojováním do studií, začalo používat DNS přes HTTPS. Pro resolvování DNS byly použity servery Cloudflare se speciálními podmínkami ochrany osobních údajů, a uživatelé byli o zapojení do studie informování s možností z ní okamžitě vystoupit.

Experiment za dobu svého trvání vygeneroval přes miliardu DNS dotazů. Ukázalo se, že DNS přes HTTPS přináší zpomalení v jednotkách milisekund. U pětiny nejpomalejších dotazů bylo ale naopak až o stovky milisekund rychlejší.

Problémy s DNS přes HTTPS se objevily hlavně při připojení za firewallem a u captive portálů (přihlašování k WiFi sítím přes webovou stránku). U nich je řešením použití tradičního DNS, pokud DNS přes HTTPS zrovna selže.

Mozilla na konci svého oznámení o výsledcích zmiňuje jako další kroky vytvoření širšího seznamu možných poskytovatelů DNS přes HTTPS, kteří respektují soukromí uživatelů. Další experimenty před zprovozněním DNS přes HTTPS pro všechny uživatele se zaměří na možné způsoby distribuce dotazů mezi více poskytovatelů, případně pro hledání nejvhodnějšího poskytovatele podle geografické polohy.

2 komentářů k článku “Výsledky experimentu s DNS přes HTTPS”

  1. Lukáš napsal(a)

    Dá se ta technologie zapnout s tím, že pro některé ručně zadané výjimky se použije klasický DNS server?

    1. Michal Stanke napsal(a)

      Lukáš: AFAIK ne. Ale pokud je nastavena předvolba „network.trr.mode“ na 2, pokud se resolve přes DoH nepovede, použije se klasické DNS. To by mělo fungovat třeba pro domény nasměrované na localhost nebo funkční jen v dané sítí nebo VPN.