مطورو Firefox حول تمكين وضع DNS عبر HTTPS (DoH، DNS عبر HTTPS) افتراضيًا لمستخدمي الولايات المتحدة. يعتبر تشفير حركة مرور DNS عاملاً مهمًا بشكل أساسي في حماية المستخدمين. بدءًا من اليوم، سيتم تمكين DoH افتراضيًا لجميع عمليات التثبيت الجديدة التي يجريها المستخدمون الأمريكيون. ومن المقرر أن يتم تحويل المستخدمين الحاليين في الولايات المتحدة إلى DoH في غضون أسابيع قليلة. في الاتحاد الأوروبي والدول الأخرى، قم بتنشيط DoH افتراضيًا في الوقت الحالي .
بعد تنشيط DoH، يتم عرض تحذير للمستخدم، والذي يسمح، إذا رغبت في ذلك، برفض الاتصال بخوادم DoH DNS المركزية والعودة إلى المخطط التقليدي لإرسال استعلامات غير مشفرة إلى خادم DNS الخاص بالموفر. بدلاً من البنية التحتية الموزعة لمحللات DNS، تستخدم DoH ربطًا بخدمة DoH محددة، والتي يمكن اعتبارها نقطة فشل واحدة. حاليًا، يتم تقديم العمل من خلال اثنين من موفري DNS - CloudFlare (الافتراضي) و .
قم بتغيير المزود أو قم بتعطيل DoH في إعدادات اتصال الشبكة. على سبيل المثال، يمكنك تحديد خادم DoH بديل "https://dns.google/dns-query" للوصول إلى خوادم Google، "https://dns.quad9.net/dns-query" - Quad9 و"https:/" /doh .opendns.com/dns-query" - OpenDNS. حول: يوفر التكوين أيضًا إعداد Network.trr.mode، الذي يمكنك من خلاله تغيير وضع تشغيل DoH: القيمة 0 تعمل على تعطيل DoH تمامًا؛ 1 - يتم استخدام DNS أو DoH، أيهما أسرع؛ 2 - يتم استخدام DoH بشكل افتراضي، ويتم استخدام DNS كخيار احتياطي؛ 3 - يتم استخدام DoH فقط؛ 4 - وضع النسخ المتطابق الذي يتم فيه استخدام DoH و DNS بالتوازي.
تذكر أن DoH يمكن أن يكون مفيدًا لمنع تسرب المعلومات حول أسماء المضيفات المطلوبة من خلال خوادم DNS لمقدمي الخدمة ، ومكافحة هجمات MITM وانتحال حركة مرور DNS (على سبيل المثال ، عند الاتصال بشبكة Wi-Fi عامة) ، ومواجهة الحظر على مستوى DNS (DoH لا يمكن أن تحل محل VPN في مجال تجاوز الحجب المطبق على مستوى DPI) أو لتنظيم العمل في حالة استحالة الوصول مباشرة إلى خوادم DNS (على سبيل المثال ، عند العمل من خلال وكيل). بينما يتم إرسال طلبات DNS في الوضع العادي مباشرة إلى خوادم DNS المحددة في تكوين النظام ، في حالة DoH ، يتم تغليف طلب تحديد عنوان IP للمضيف في حركة مرور HTTPS وإرساله إلى خادم HTTP ، حيث يقوم المحلل يعالج الطلبات من خلال Web API. يستخدم معيار DNSSEC الحالي التشفير فقط لمصادقة العميل والخادم ، ولكنه لا يحمي حركة المرور من الاعتراض ولا يضمن سرية الطلبات.
لتحديد موفري DoH المتوفرين في Firefox، لمحللي DNS الجديرين بالثقة، والتي بموجبها يمكن لمشغل DNS استخدام البيانات المستلمة للحل فقط لضمان تشغيل الخدمة، ويجب عدم تخزين السجلات لأكثر من 24 ساعة، ولا يمكنه نقل البيانات إلى أطراف ثالثة وهو ملزم بالكشف عن معلومات حول طرق معالجة البيانات. يجب أن توافق الخدمة أيضًا على عدم فرض رقابة على حركة مرور DNS أو تصفيتها أو التدخل فيها أو حظرها، باستثناء الحالات التي ينص عليها القانون.
يجب استخدام DoH بحذر. على سبيل المثال، في الاتحاد الروسي، عناوين IP 104.16.248.249 و104.16.249.249 مرتبطة بخادم DoH الافتراضي mozilla.cloudflare-dns.com المقدم في Firefox، в بناء على طلب محكمة ستافروبول بتاريخ 10.06.2013.
يمكن أن تسبب دائرة الصحة أيضًا مشكلات في مجالات مثل أنظمة الرقابة الأبوية، والوصول إلى مساحات الأسماء الداخلية في أنظمة الشركات، واختيار المسار في أنظمة تحسين تسليم المحتوى، والامتثال لأوامر المحكمة في مجال مكافحة توزيع المحتوى غير القانوني واستغلال القُصّر. للتحايل على مثل هذه المشكلات، تم تنفيذ واختبار نظام فحص يقوم تلقائيًا بتعطيل DoH في ظل ظروف معينة.
لتحديد وحدات حل المؤسسات، يتم فحص نطاقات المستوى الأول غير النمطية (TLDs) وتقوم وحدة حل النظام بإرجاع عناوين الإنترانت. لتحديد ما إذا كانت أدوات الرقابة الأبوية ممكّنة، يتم إجراء محاولة لحل الاسم exampleadultsite.com وإذا كانت النتيجة لا تتطابق مع عنوان IP الفعلي، فسيتم اعتبار أن حظر محتوى البالغين نشط على مستوى DNS. يتم أيضًا التحقق من عناوين IP الخاصة بـ Google وYouTube كعلامات لمعرفة ما إذا تم استبدالها بـ Restrict.youtube.com وforcesafesearch.google.com وRestrictmoderate.youtube.com. تسمح عمليات التحقق هذه للمهاجمين الذين يتحكمون في تشغيل محلل البيانات أو القادرين على التدخل في حركة المرور بمحاكاة هذا السلوك لتعطيل تشفير حركة مرور DNS.
يمكن أن يؤدي العمل من خلال خدمة DoH واحدة أيضًا إلى مشاكل في تحسين حركة المرور في شبكات توصيل المحتوى التي تقوم بموازنة حركة المرور باستخدام DNS (يقوم خادم DNS لشبكة CDN بإنشاء استجابة ، مع مراعاة عنوان المحلل وإصدار أقرب مضيف لتلقي المحتوى). يؤدي إرسال استعلام DNS من المحلل الأقرب إلى المستخدم في شبكات CDN هذه إلى إرجاع عنوان المضيف الأقرب للمستخدم ، ولكن إرسال استعلام DNS من المحلل المركزي سيعيد عنوان المضيف الأقرب إلى خادم DNS-over-HTTPS. أظهر الاختبار في الممارسة العملية أن استخدام DNS-over-HTTP عند استخدام CDN عمليًا لم يؤد إلى تأخيرات قبل بدء نقل المحتوى (للاتصالات السريعة ، لم تتجاوز التأخيرات 10 مللي ثانية ، بل لوحظ تسارع على قنوات الاتصال البطيئة ). نظرنا أيضًا في استخدام امتداد الشبكة الفرعية للعميل EDNS لتمرير معلومات موقع العميل إلى محلل CDN.
المصدر: opennet.ru