Veřejné DNS resolvery CZ.NIC podporují také DNS-over-HTTPS

21. 5. 2019
Doba čtení: 2 minuty

Sdílet

Otevřené DNSSEC Validující Resolvery CZ.NIC (zkráceně ODVR) podporují komunikaci pomocí DNS-over-HTTPS (DoH). Vedle DNS-over-TLS (DoT) se tedy jedná o další možnost, jak šifrovat spojení s klientem.

V nedávném článku jsem informoval o spuštění nového ODVR, tedy našich DNS resolverů pro veřejnost. Nové ODVR provozujeme na k tomu určeném DNS anycastu s námi vyvíjeným resolverem, kterým je KNOT Resolver. Současně se spuštěním nového ODVR jsme zprovoznili i podporu šifrované komunikace DNS-over-TLS (DoT).

Nyní přicházíme ještě s podporou protokolu DNS-over-HTTPS (DoH). Vedle DoT se tedy jedná o další možnost, jak šifrovat spojení mezi klientem a DNS resolverem. Pro využití DoH zbývá už jen správně nastavit váš internetový prohlížeč.

Nastavení DoH

DoH si můžete vyzkoušet ve Firefoxu od verze 62, Chrome od verze 66 nebo Bromite od verze 67.

Nastavení ve Firefoxu je velice jednoduché. Přejděte do menu „Předvolby“, v menu „Obecné“ zcela dole najděte sekci „Nastavení sítě“ a klikněte na tlačítko „Nastavení“. Zaškrtněte „Zapnout DNS přes HTTPS“ a do pole „Vlastní“ vložte URI „https://odvr.nic.cz/doh“.


DoH lze také aktivovat i v pokročilém nastavení „about:config“ vyhledáním řetězců network.trr.uri, network.trr.mode a případně i network.trr.bootstrapAddress.

Výše uvedené nastavení, stejně tak i pro protokol DoT, je dostupné také v rámci webové prezentace.

Protokol DNS-over-HTTPS je provozován v experimentálním modu a doporučujeme spíše používat pro šifrovanou komunikaci protokol DNS-over-TLS. Určitě ale budeme moc rádi za zpětnou vazbu, pokud budete mít s použitím DoT a zejména DoH nějaké zkušenosti.

Ověřit funkčnost DoH si můžete např. pohledem do síťového provozu, pomocí nástroje  tcpdump.


Měli byste vidět podobný výstup jako na obrázku výše, tedy provoz na portu TCP/443 a nečitelný obsah paketů.

I při použití protokolu DoH platí, že nefiltrujeme žádné DNS dotazy, vyjma privátních IPv4 a IPv6 rozsahů.

Vypnutí původního ODVR

Původní ODVR běží z jedné části na samostatných serverech s fail-overem (IP adresy 217.31.204.130, 2001:1488:800:400::130) a z druhé části na DNS anycastu pro .CZ doménu (IP adresy 193.29.206.206, 2001:678:1::206). Využití obou prostředí je nerovnoměrné a většinu provozu odbavují právě ne-anycastové servery, jak ukazuje následující graf.


Využití anycastových serverů se pohybuje okolo 25 % celkového provozu. Protože chceme ODVR z bezpečnostních důvodů zcela oddělit z DNS anycastu pro doménu .CZ, přednostně odstavíme právě tuto skupinu IP adres, tedy 193.29.206.206, 2001:678:1::206. Jelikož jde o dlouhodobý proces, provedeme to až v okamžiku, kdy provoz na této části ODVR klesne pod 1 % celkového provozu.

Vzhledem k tomu, že se ODVR používá i na routerech Turris, částečný pokles provozu zajistíme změnou DNS resolverů v rámci vydání nové verze TurrisOS. Nové adresy jsou již použity v nedávno vydané verzi TurrisOS 4.0 beta 1, pro TurrisOS 3.x budou dostupné v následující aktualizaci.

bitcoin školení listopad 24

Další oslabení provozu zajistíme kontaktováním ISP poskytovatelů, od kterých přichází nejvíce DNS provozu.

(Původně napsáno pro blog CZ.NIC.)

Autor článku

V minulosti vedl týmy systémových administrátorů ve společnosti IGNUM nebo sdružení CZ.NIC, nyní působí ve společnosti VSHosting.