مطورو Firefox عند الانتهاء من اختبار دعم DNS عبر HTTPS (DoH ، DNS عبر HTTPS) والنية لتمكين هذه التقنية افتراضيًا للمستخدمين الأمريكيين في نهاية سبتمبر. سيتم تنفيذ التضمين بشكل تدريجي ، مبدئيًا لنسبة قليلة من المستخدمين ، وفي حالة عدم وجود مشاكل ، سيزداد تدريجياً إلى 100 ٪. بعد تغطية الولايات المتحدة ، سيتم النظر في إمكانية تضمين DoH في بلدان أخرى.
أظهرت الاختبارات التي أجريت على مدار العام موثوقية الخدمة وأدائها الجيد ، كما أتاحت تحديد بعض المواقف التي يمكن أن تؤدي فيها إدارة الصحة إلى مشاكل وتطوير حلول لتجاوزها (على سبيل المثال ، تم تفكيكها مع تحسين حركة المرور في شبكات توصيل المحتوى والرقابة الأبوية ومناطق DNS الداخلية للشركات).
تعتبر أهمية تشفير حركة مرور DNS عاملاً مهمًا بشكل أساسي في حماية المستخدمين ، لذلك تقرر تمكين DoH افتراضيًا ، ولكن في المرحلة الأولى فقط للمستخدمين من الولايات المتحدة. بعد تنشيط DoH ، سيتم عرض تحذير للمستخدم ، والذي سيسمح ، إذا رغبت في ذلك ، برفض الوصول إلى خوادم DNS المركزية لـ DoH والعودة إلى المخطط التقليدي لإرسال استعلامات غير مشفرة إلى خادم DNS الخاص بالمزود (بدلاً من البنية التحتية الموزعة لـ محللات DNS ، تستخدم DoH الربط بخدمة معينة في DoH ، والتي يمكن اعتبارها نقطة فشل واحدة).
عند تنشيط DoH ، يمكن أن تتعطل أنظمة الرقابة الأبوية وشبكات الشركات التي تستخدم بنية اسم DNS الداخلية للشبكة فقط لحل عناوين الإنترانت ومضيفي الشركات. لحل مشاكل مثل هذه الأنظمة ، تمت إضافة نظام فحص يقوم تلقائيًا بتعطيل DoH. يتم إجراء عمليات التحقق في كل مرة يتم فيها تشغيل المتصفح أو عند اكتشاف تغيير في الشبكة الفرعية.
يتم أيضًا توفير العودة التلقائية لاستخدام المحلل القياسي لنظام التشغيل في حالة حدوث أعطال أثناء الحل عبر DoH (على سبيل المثال ، في حالة انتهاك توفر الشبكة مع مزود DoH أو حدوث أعطال في بنيتها التحتية). إن معنى هذه الفحوصات مشكوك فيه ، حيث لا أحد يمنع المهاجمين الذين يتحكمون في تشغيل وحدة الحل أو قادرون على التدخل في حركة المرور من محاكاة مثل هذا السلوك من أجل تعطيل تشفير حركة مرور DNS. يتم حل المشكلة عن طريق إضافة العنصر "DoH always" (الافتراضي غير نشط) إلى الإعدادات ، عند الضبط ، لا يتم تطبيق إيقاف التشغيل التلقائي ، وهو حل وسط معقول.
لتحديد أدوات حل المؤسسات ، يتم إجراء فحوصات لنطاقات المستوى الأول غير النموذجية (TLDs) ويقوم محلل النظام بإرجاع عناوين إنترانت. لتحديد ما إذا كانت أدوات الرقابة الأبوية ممكّنة ، يتم إجراء محاولة لحل الاسم exampleadultsite.com وإذا كانت النتيجة لا تتطابق مع عنوان IP الفعلي ، فيُعتبر أن حظر محتوى البالغين نشط على مستوى DNS. يتم أيضًا التحقق من عناوين IP الخاصة بـ Google و YouTube كمؤشرات لمعرفة ما إذا كان قد تم انتحالها على أنها limits.youtube.com و forceafesearch.google.com و limitmoderate.youtube.com. المزيد من Mozilla تنفيذ مضيف اختبار واحد ، والتي يمكن استخدامها من قبل مزودي خدمات الإنترنت وخدمات الرقابة الأبوية كعلامة لتعطيل DoH (إذا لم يتم العثور على المضيف ، يقوم Firefox بتعطيل DoH).
يمكن أن يؤدي العمل من خلال خدمة DoH واحدة أيضًا إلى مشاكل في تحسين حركة المرور في شبكات توصيل المحتوى التي تقوم بموازنة حركة المرور باستخدام DNS (يقوم خادم DNS لشبكة CDN بإنشاء استجابة ، مع مراعاة عنوان المحلل وإصدار أقرب مضيف لتلقي المحتوى). يؤدي إرسال استعلام DNS من المحلل الأقرب إلى المستخدم في شبكات CDN هذه إلى إرجاع عنوان المضيف الأقرب للمستخدم ، ولكن إرسال استعلام DNS من المحلل المركزي سيعيد عنوان المضيف الأقرب إلى خادم DNS-over-HTTPS. أظهر الاختبار في الممارسة العملية أن استخدام DNS-over-HTTP عند استخدام CDN عمليًا لم يؤد إلى تأخيرات قبل بدء نقل المحتوى (للاتصالات السريعة ، لم تتجاوز التأخيرات 10 مللي ثانية ، بل لوحظ تسارع على قنوات الاتصال البطيئة ). نظرنا أيضًا في استخدام امتداد الشبكة الفرعية للعميل EDNS لتمرير معلومات موقع العميل إلى محلل CDN.
تذكر أن DoH يمكن أن يكون مفيدًا لمنع تسرب المعلومات حول أسماء المضيفات المطلوبة من خلال خوادم DNS لمزودي الخدمة ، ولمكافحة هجمات MITM وانتحال حركة مرور DNS ، أو لمقاومة الحظر على مستوى DNS ، أو لتنظيم العمل في حالة استحالة الوصول المباشر الوصول إلى خوادم DNS (على سبيل المثال ، عند العمل من خلال وكيل). بينما يتم عادةً إرسال طلبات DNS مباشرة إلى خوادم DNS المحددة في تكوين النظام ، في حالة DoH ، يتم تغليف طلب تحديد عنوان IP للمضيف في حركة مرور HTTPS وإرساله إلى خادم HTTP ، حيث يعالج المحلل الطلبات عبر واجهة برمجة تطبيقات الويب. يستخدم معيار DNSSEC الحالي التشفير فقط لمصادقة العميل والخادم ، ولكنه لا يحمي حركة المرور من الاعتراض ولا يضمن سرية الطلبات.
لتمكين DoH في about: config ، قم بتغيير قيمة متغير network.trr.mode ، الذي تم دعمه منذ Firefox 60. تعطل القيمة 0 DoH تمامًا ؛ 1 - يتم استخدام DNS أو DoH ، أيهما أسرع ؛ 2 - يتم استخدام DoH افتراضيًا ، ويتم استخدام DNS كبديل ؛ 3 - يتم استخدام DoH فقط ؛ 4 - وضع الانعكاس الذي يتم فيه استخدام DoH و DNS بالتوازي. يتم استخدام خادم DNS الخاص بـ CloudFlare افتراضيًا ، ولكن يمكن تغييره عبر المعلمة network.trr.uri ، على سبيل المثال ، يمكنك تعيين "https://dns.google.com/experimental" أو "https://9.9.9.9 / dns-query ".
المصدر: opennet.ru