Introdução
Este documento descreve uma notificação para serviços DNS sobre HTTPS (DoH) e DNS sobre TLS (DoT).
Para dispositivos configurados para usar Umbrella para DoH e DoT
Foi relatado um problema em que o Umbrella pode fechar a conexão para dispositivos que enviam várias solicitações DoH/DoT por uma única conexão TCP. Embora apenas algumas implementações de cliente DoH/DoT sejam afetadas por isso, o problema está no lado Umbrella e é considerado uma alta prioridade para nossa equipe abordar, pois pode afetar a conectividade do dispositivo e a navegação na Web.
Para alívio de curto prazo de dispositivos configurados para descobrir serviços usando o Discovery of Designated Resolvers (DDR), incluindo, mas não limitado a, aqueles que executam o Apple iOS 16 Beta, estamos ajustando temporariamente nossos registros DDR para parar de anunciar o suporte DoH. Continuamos anunciando DNS sobre TLS (DoT) nesses registros, que já é considerado o transporte preferencial para DNS criptografado. Continuamos a apoiar e aceitar totalmente as conexões do DoH durante essa medida temporária.
Planejamos readicionar o DoH aos nossos registros DDR assim que tivermos certeza de que esses problemas foram resolvidos.
Esses problemas afetam apenas os dispositivos configurados para consultar o Umbrella usando DoH e DoT diretamente ou por meio da descoberta (DDR), e não afeta os implantados com o cliente de roaming Umbrella, o módulo de segurança de roaming Umbrella para AnyConnect, o dispositivo virtual ou outras integrações de dispositivos usando o transporte DNSCrypt criptografado.
Atualizar: A Umbrella implantou melhorias de produção para tratamento TCP e registros DDR para DoH foram reativados na sexta-feira, 7 de outubro de 2022. Os registros DDR foram revertidos na segunda-feira, 11 de outubro de 2022, depois que os relatórios de campo indicaram que algumas implementações do DoH do cliente ainda estavam tendo problemas de conexão. Os registros DDR para DoH permanecem desabilitados, aguardando investigação adicional.
Feedback