Firefox DNS-over-HTTPS 间歇性故障

Firefox DNS-over-HTTPS 间歇性故障

背景与配置

我在 Firefox 中启用了 DNS-over-HTTPS (DoH),以便将我访问的网站流移交给 Cloudflare,然后直接在一个方便的地方交给政府机构。它隐藏在优先一般的标签,向下滚动到右下角,设置按钮,再次向下滚动到底部。

当我尝试搜索包含点的术语时,我注意到 DNS-over-HTTPS 未被使用。我的 ISP,BT,仍在劫持普通的旧 DNS 以重定向到他们的网站。考虑到 Firefox 提供的措辞,这令人惊讶,这向任何理性的人表明这将是安全的。在我看来,Firefox UX 签名需要加强他们的想法。

因此,在谷歌搜索后,我进入about:config并更改network.trr.mode3,以便 Firefox 不会DoH 上的不安全故障

这根本不起作用。

进一步谷歌搜索,我已经关闭了 BT“智能设置”在我的 ADSL 路由器上。我的 BT Home Hub 的步骤如下:

  • 登录管理站点192.168.1.254
  • 高级设置
  • 继续高级设置(!)
  • 家庭网络
  • “智能设置”(看来“聪明”从来就不聪明。)
  • 申请

这种方法一开始似乎有效,但后来却一直失败。

这是间歇性故障。切换network.trr.mode2(故障打开!)然后可能加载某些内容,允许设置network.trr.mode3一段时间。

我怀疑 Firefox 可能仅使用中毒的 DNS 缓存执行 DoH 之外的所有查找。但是,我未访问过的网站仍然可以正常工作。

即将https://1.1.1.1/help间歇性故障期间给我:

 Connected to 1.1.1.1           No
 Using DNS over HTTPS (DoH)     No
 Using DNS over TLS (DoT)       No
 AS Name                     Checking...
 AS Number                   Checking...
 Cloudflare Data Center         LHR

当工作时就变成:

 Connected to 1.1.1.1           Yes
 Using DNS over HTTPS (DoH)     Yes
 Using DNS over TLS (DoT)       No
 AS Name                     Cloudflare
 AS Number                     13335
 Cloudflare Data Center         LHR

即将https://www.cloudflare.com/ssl/encrypted-sni/我注意到加密 SNI 没有发生。据我了解,当单个 IP 地址从多个名称映射时,SNI 使 Web 服务器能够为网站提供正确的证书。不幸的是,默认情况下,即使使用 DoH,Firefox 也会以纯文本形式发送主机名。 可信的。

但在谷歌上搜索后,结果显示在此处设置network.security.esni.enabled了加密主机名。我不知道这怎么会失败。trueabout:config

我也尝试过使用公共接入点(云),其行为大致相同。

我一直在使用 macOS Catalina。在 Windows 10 廉价且非常糟糕的笔记本电脑上似乎也一样。尝试使用 刷新 Windows DNS 缓存,ipconfig /flushdns并设置network.dnsCacheExpiration0。既不能在失败时使其工作,也不能在工作时使其失败。

问题

是什么原因导致 Firefox 上的故障安全 DoH 间歇性失败?如何修复它?

我注意到该www.cloudflare.com名称在 DoH 配置中。它是否无法以合理的方式进行引导?它是否会在一段时间后使查找过期,并且无法及时使用 DoH?

答案1

我已经看过了维基百科

事实证明,这确实是引导解析器 HTTPS URL 中使用的名称的问题。DNSSEC 服务器的 IP 需要位于 中network.trr.bootstrapAddress,可能使用与 DNS-over-HTTPS 相同的服务器。维基百科建议使用https://dns.google/query?name=mozilla.cloudflare-dns.com可以使用以下方式检查nslookup。对于 Cloudflare,这提供了选择104.16.249.249104.16.248.249初始票还建议在 HTTPS URL 中使用 IP 地址的替代方案(尽管我猜这意味着它将使用 IP 地址 HTTPS 证书)。

因此,除了首选项窗口之外,在 Firefox 中使 DNS-over-HTTPS 正常工作所需的配置about:config似乎是:

 network.security.esni.enabled    true
 network.trr.mode                 3
 network.trr.bootstrapAddress     104.16.249.249

我想要的只是一个勾选框。

编辑:这个问题很难重现,但我仍然看到间歇性问题。它只出现在一个页面上,然后自动清除。

相关内容