Vlákno názorů k článku Mozilla má pravidla pro DNS-over-HTTPS a důvěryhodné resolvery od HoLi - Mam to chapat tak ze to Mozilla hodla...

Mam to chapat tak ze to Mozilla hodla zapnout ve vychozim stavu a rovnou to smerovat na cloudflare? Takze to budeme muset vsude automaticky vypinat kvuli lokalnim DNS zaznamum(vnitrni vs vnejsi IP)?

Ano, hodlá to zapnout ve výchozím stavu. Jestli to bude směřovat na CF nebo jinam se zatím úplně neví.
Lokální záznamy nevadí, pokud nejsou zároveň resolvovatelné přes DoH – Firefox nejspíše ve výchozím stavu zkusí systémový resolver, když dotaz přes DoH selže*. Pokud ale vaše DNS infrastruktura vrací různá data pod stejnými doménovými jmény v závislosti na tom, odkud se kdo ptá, pak ano, pak budete mít problém.

*) Je ovšem ještě otázka, jestli se NXDOMAIN považuje za selhání nebo ne. Nejspíš ne.

Ovšem ten problém už máte teď, pokud si uživatel může nastavit vlastní DNS resolver. Pokud si tam teď dá čtyři osmičky, jste ve stejné situaci, pokud mu nebudete na síti nějak ošklivě unášet spojení. Jestliže máte stroje ve své správě (což ve firmě typicky máte), zajistíte si změnu konfigurace dle libosti s klasickým DNS i po nasazení DoH.

Jenze je rozdil systemovy DNS resolver a DNS resolver v nejake aplikaci. V beznych aplikacich ma uzivatel defacto pravo zmenit cokoli.

Tak se mu to rozbije. I teď si může v prohlížeči nastavit uživatelsky spoustu věcí, které mu to kompletně rozloží. Namátkou si třeba zapne použití proxy na nějakou náhodnou adresu a přestane mu „jít internet“. Tohle by ale uživatel dělat neměl, aby se mu věci nerozbily. A také to obvykle nedělá.

Jde o to ze vetsinou jsou to BFU nebo rozumni lide kterym vysvetlite ze si maji nechat nastaveny lokalni DNS resolver(typicky predany pres DHCP) jinak jim to nebude hlavne u mobilnich zarizeni fungovat. Typicky treba firemni cloud na noteboocich a mobilech.

Pro mi prave vadi ze toto obejde systemovy resolver, ktery je nastaveny spravne a v ten moment jim prestane fungovat treba webove rozhrani pri prepojeni mobilnich dat na lokalni wifi a naopak. Ze se to da vypnout je jasne, problem je vypinat to u vsech a vubec na to myslet to vypnout pri preinstalaci apod. Pak je dalsi problem aby se to nahodou nechovalo jako Widle a pri kazde aktualizaci si to zrovna toto nehodilo zpet do vychoziho nastaveni.

Osobne bych tedy uvital spise vychozi vypnuty stav a maximalne pobidnuti uzivatele k zapnuti ... to uz se da vsem vysvetlit aby to nezapinali. S technologii nebo implementaci problem nemam.

No, možná to skončí podobně jako u chrome - někde v temných hlubinách budou existovat policies, které může instalovat jen administrátor, a které umožní přenastavit security výrazně více, než může uživatel. Dokumentace k nim se bude shánět zase docela těžko, hlavně proto, že dokumentace nebude vybíhat při googlení konrétního problému. (Ty policies umožnovali do chrome instalovat vlastní javascript user scripty, jak je to teď ale netuším.)

Když si tam dá 8.8.8.8, může admin mít redirect na interní DNS. DNSSSEC stejně Windows stanice neřeší.

Takze to prakticky obejde systemovy resolver :/

I tohle chovani je uz samo o sobe problemove.

Za prve, veskere interni DNS requesty by sly ven (jo ja vim, ze telemetrie to casto kopne tak jako tak ven).
Za druhe, v pripade blokaci https provozu smerem ven se znasobi spam v logu firewallu/proxy.
Za treti, v pripade VPN se to bude chovat jeste neznamo jak.

Ne, FF rozhodne dlouhodobe nefunguje v souladu s potrebami firemni infrastruktury, naopak mnohdy jde proti firemnimpotrebam (dlouhodobe chybejici gpo, interni CA atd).

<no-flame>
Kdo by proboha blokoval HTTPS provoz ven? A proč?
</no-flame>

Na otazky proc je jednoducha odpoved. Protoze pres HTTPS lze prenaset libovolna data a neda se zjistit jaka. To je v pripade vyssi urovne zabezpeceni uniku dat z firmy problem. Takze se to resi bud zakazem HTTPS, nebo instalaci firemniho certifikatu, kdy se na MitM na firewalu/proxy prebaluje sifrovana komunikace pod jiny cert/autoritu.
Oboje je reseni nedokonale tak "trochu" rozbite, ale pouziva se bezne.

Já doufám, že by to mohlo přispět k tomu, že se vrátíme k používání jednoho globálního DNS stromu. Ty lokální DNS resolvery, které překládají adresy, které jinde přeložit nelze, nebo je překládají jinak, jsou zlo. (A samozřejmě je to jeden z důsledků nedostatku IPv4 adres.) Dnes má každý v kapse multihome zařízení, takže je lichá představa, že zařízení je připojené v jedné síti a její správce nad ním má plnou kontrolu. Snad se postupně vracíme k Internetu, který má fungovat jako hloupá transportní síť, která se stará jenom o to odkud kam má předat paket a nesnaží se vrtat ve věcech, do kterých jí nic není. A to se mi jinak trend internet-over-HTTPS nelíbí.

Upřesnil bych kouskem citace z toho odkázaného oznámení:
> In addition we may have DoH/TRR on by default in some regions and not others, especially initially.

Osobně to vidím jako plány a jelikož je to dost citlivé téma, řekl bych že je nejisté jak přesně se to nakonec vyvine. Pokud dobře pamatuji, z Chrome se vyjádřili že nechtějí by default obcházet politiku OS/sítě.