Firefox Tərtibatçıları ABŞ istifadəçiləri üçün standart olaraq HTTPS üzərindən DNS (DoH, HTTPS üzərində DNS) rejimini aktivləşdirmək haqqında. DNS trafikinin şifrələnməsi istifadəçilərin qorunmasında əsaslı mühüm amil hesab olunur. Bu gündən başlayaraq, ABŞ istifadəçiləri tərəfindən bütün yeni quraşdırmalarda defolt olaraq DoH aktivləşdiriləcək. Mövcud ABŞ istifadəçilərinin bir neçə həftə ərzində DoH-a keçməsi planlaşdırılır. Avropa İttifaqında və digər ölkələrdə Defolt olaraq DoH-i aktivləşdirin .
DoH aktivləşdirildikdən sonra istifadəçiyə xəbərdarlıq göstərilir ki, bu da istəsə, mərkəzləşdirilmiş DoH DNS serverləri ilə əlaqə saxlamaqdan imtina etməyə və provayderin DNS serverinə şifrələnməmiş sorğuların göndərilməsinin ənənəvi sxeminə qayıtmağa imkan verir. DNS həlledicilərinin paylanmış infrastrukturu əvəzinə, DoH, vahid uğursuzluq nöqtəsi sayıla bilən xüsusi bir DoH xidmətinə bağlamadan istifadə edir. Hazırda iş iki DNS provayderi vasitəsilə təklif olunur - CloudFlare (standart) və .
Provayderi dəyişdirin və ya DoH-ni söndürün şəbəkə bağlantısı parametrlərində. Məsələn, Google serverlərinə, “https://dns.quad9.net/dns-query” - Quad9 və “https:/” serverlərinə daxil olmaq üçün alternativ “https://dns.google/dns-query” DH serverini təyin edə bilərsiniz. /doh .opendns.com/dns-query" - OpenDNS. Haqqında:config həmçinin network.trr.mode parametrini təmin edir, onun vasitəsilə siz DoH iş rejimini dəyişə bilərsiniz: 0 dəyəri DoH-i tamamilə söndürür; 1 - DNS və ya DoH istifadə olunur, hansı daha sürətlidir; 2 - DoH standart olaraq istifadə olunur və DNS ehtiyat variantı kimi istifadə olunur; 3 - yalnız DoH istifadə olunur; 4 - DoH və DNS-nin paralel olaraq istifadə edildiyi güzgü rejimi.
Xatırladaq ki, DoH provayderlərin DNS serverləri vasitəsilə tələb olunan host adları haqqında məlumat sızmasının qarşısını almaq, MITM hücumları və DNS trafikinin saxtalaşdırılması ilə mübarizə (məsələn, ictimai Wi-Fi-a qoşularkən), DNS səviyyəsində bloklamaya qarşı (DoH) faydalı ola bilər. DPI səviyyəsində həyata keçirilən blokdan yan keçmə sahəsində VPN-i əvəz edə bilməz) və ya DNS serverlərinə birbaşa daxil olmaq mümkün olmadıqda (məsələn, proxy vasitəsilə işləyərkən) işin təşkili üçün. Normal vəziyyətdə DNS sorğuları birbaşa sistem konfiqurasiyasında müəyyən edilmiş DNS serverlərinə göndərildiyi halda, DoH vəziyyətində, host IP ünvanının müəyyən edilməsi sorğusu HTTPS trafikinə daxil edilir və həlledicinin olduğu HTTP serverinə göndərilir. Web API vasitəsilə sorğuları emal edir. Mövcud DNSSEC standartı yalnız müştəri və serverin autentifikasiyası üçün şifrələmədən istifadə edir, lakin trafiki ələ keçirməkdən qorumur və sorğuların məxfiliyinə zəmanət vermir.
Firefox-da təklif olunan DoH provayderlərini seçmək üçün, etibarlı DNS həlledicilərinə, buna görə DNS operatoru həll üçün alınan məlumatları yalnız xidmətin işləməsini təmin etmək üçün istifadə edə bilər, qeydləri 24 saatdan çox saxlamamalı, məlumatları üçüncü tərəflərə ötürə bilməz və bu barədə məlumatları açıqlamalıdır. məlumatların emalı üsulları. Xidmət, həmçinin qanunla nəzərdə tutulmuş hallar istisna olmaqla, senzura, filtrləmə, DNS trafikinə müdaxilə etmə və ya bloklamamağa razı olmalıdır.
DoH ehtiyatla istifadə edilməlidir. Məsələn, Rusiya Federasiyasında Firefox-da təklif olunan standart DoH server mozilla.cloudflare-dns.com ilə əlaqəli 104.16.248.249 və 104.16.249.249 IP ünvanları, в Stavropol məhkəməsinin 10.06.2013 iyun XNUMX-cü il tarixli tələbi ilə.
DoH həmçinin valideyn nəzarəti sistemləri, korporativ sistemlərdə daxili ad boşluqlarına giriş, məzmunun çatdırılması optimallaşdırma sistemlərində marşrut seçimi və qanunsuz məzmunun yayılması və istismarı ilə mübarizə sahəsində məhkəmə qərarlarına əməl olunması kimi sahələrdə problemlər yarada bilər. azyaşlılar. Bu cür problemlərin qarşısını almaq üçün müəyyən şərtlər altında DoH-ni avtomatik söndürən yoxlama sistemi tətbiq edilmiş və sınaqdan keçirilmişdir.
Müəssisə həlledicilərini müəyyən etmək üçün atipik birinci səviyyəli domenlər (TLD) yoxlanılır və sistem həlledicisi intranet ünvanlarını qaytarır. Valideyn nəzarətinin aktiv olub-olmadığını müəyyən etmək üçün exampleadultsite.com adını həll etməyə cəhd edilir və nəticə faktiki IP ilə uyğun gəlmirsə, böyüklər üçün məzmunun bloklanmasının DNS səviyyəsində aktiv olduğu hesab edilir. Google və YouTube IP ünvanları, həmçinin məhdudlaşdırma.youtube.com, forcesafesearch.google.com və Restrictmoderate.youtube.com ilə əvəz olunub-olunmadığını yoxlamaq üçün işarə kimi yoxlanılır. Bu yoxlamalar həlledicinin işinə nəzarət edən və ya trafikə müdaxilə edə bilən təcavüzkarlara DNS trafikinin şifrələnməsini söndürmək üçün belə davranışı simulyasiya etməyə imkan verir.
Vahid DoH xidməti ilə işləmək DNS-dən istifadə edərək trafik balansını həyata keçirən məzmun çatdırılması şəbəkələrində trafikin optimallaşdırılması ilə bağlı problemlərə də səbəb ola bilər (CDN şəbəkəsinin DNS serveri həlledicinin ünvanını nəzərə alaraq cavab yaradır və ən yaxın hostu verir. məzmun almaq). Belə CDN-lərdə istifadəçiyə ən yaxın həlledicidən DNS sorğusunun göndərilməsi istifadəçiyə ən yaxın olan hostun ünvanını qaytarır, lakin mərkəzləşdirilmiş həlledicidən DNS sorğusunun göndərilməsi HTTPS-dən çox DNS serverinə ən yaxın olan host ünvanını qaytaracaq. Təcrübədə sınaq göstərdi ki, CDN-dən istifadə edərkən DNS-over-HTTP-dən istifadə praktiki olaraq məzmun ötürülməsi başlamazdan əvvəl gecikmələrə səbəb olmayıb (sürətli bağlantılar üçün gecikmələr 10 millisaniyədəni keçmirdi və hətta yavaş rabitə kanallarında sürətlənmə müşahidə olunurdu) ). Biz həmçinin müştəri yeri məlumatını CDN həlledicisinə ötürmək üçün EDNS Müştəri Alt Şəbəkə genişlənməsindən istifadə etməyi nəzərdən keçirdik.
Mənbə: opennet.ru