Hlavní navigace

Mozilla zveřejnila výsledky svého experimentu s DNS-over-HTTPS

Sdílet

Petr Krčmář 4. 4. 2019
Mozilla logo

DNS-over-HTTPS (DoH) je mladý protokol, který umožňuje šifrovat a autentizovat DNS provoz. Implementován má být přímo v koncovém klientu (prohlížeči) a má nabídnout obtížnější blokování a hlavně soukromí. Psali jsme o něm samostatný článek.

Mozilla s protokolem už nějakou dobu experimentuje a nyní zveřejnila výsledky svých pokusů s výkonem. Ukázalo se, že dopad na výkon je zanedbatelný a nedošlo ke zlepšení ani zhoršení času při načítání stránek. Překvapením však byla vyšší míra chybovosti. Příčiny budou ještě vývojáři zkoumat, stejně jako způsoby řešení tohoto problému.

Dalším krokem bude test DoH ve spojení s CDN. Sítě pro doručování obsahu totiž obvykle používají DNS k tomu, aby uživatele nasměrovaly na geograficky (či síťově) nejbližší uzel. Pokud se ale použije prostředník, informace o lokalizaci se ztratí, což znemožňuje sítím efektivně fungovat. Vývojáři v Mozille budou tedy v dalším experimentu sledovat, jaký to má dopad na výkon a budou zkoumat možnosti bezpečného předání lokalizace přes DoH.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 4. 4. 2019 18:34

    brk

    Nemá něco podobného Apple? Občas si pohraji s DNS, když chci, aby služba ve vnitřní síti byla dostupná pod stejným doménovým jménem, stejně jako z veřejného internetu. Tedy neco.nekde.tld mi ve vnitřní síti ukazuje na nějaké to 192.168.x.y a z internetu na veřejnou adresu, kdo to na 192.168.x.y pošle port forwarding.

    Nedávno jsem narazil s iPhonem. Počítače s Windows, Linuxem, mobily s Androidy, všude to fungovalo tak jak jsem chtěl, akorát nějaký nový iPhone to nesežral a musel jsem to řešit na routeru..

  • 5. 4. 2019 20:24

    null null (neregistrovaný) 2a02:c7d:f1:----:----:----:----:----

    Tvj, 17:1 palců dolů za otázku .... omfg ... the jkids aren't alright

  • 7. 4. 2019 22:17

    Vladimír Čunát

    To je jedna z věcí na kterých prý ještě pracují. Myslím že jedna z uvažovaných možností je v případě neúspěchu s daným jménem zkusit dotázat ještě systémové DNS (tedy to používané normálně).

    Ale kontroverzí je tam celá řada. Jen v rámci IETF se o tom už delší dobu vedou dlouhé diskuse, na více místech. Třeba jestli daný externí poskytovatel je pro většinu lidí skutečně důvěryhodnější z hlediska soukromí, nebo jeho motivace pro poskytování takové služby (na rozdíl od ISP kde motivace je přirozená), jestli je možné od běžného uživatele vlastně získat skutečné "informované rozhodnutí" jaké DNS používat, apod.

    Už tedy oznámili, že přinejmenším v některých regionech bude externí DNS jako default, ale pořád mi přijde nejasné jak se to celé vyvine...

    Snad jsem tady nic nepopletl nebo neinterpretoval příliš subjektivně. Přeci jen se mě to relativně dost blízce dotýká.