Firefox Tərtibatçıları HTTPS üzərindən DNS (DoH, HTTPS üzərində DNS) üçün test dəstəyinin başa çatması və sentyabrın sonunda bu texnologiyanı ABŞ istifadəçiləri üçün defolt olaraq aktivləşdirmək niyyəti haqqında. Daxiletmə tədricən istifadəçilərin bir neçə faizi üçün, problem olmadıqda isə tədricən 100%-ə qədər artırılacaq. ABŞ-ı əhatə etdikdən sonra DoH-nin digər ölkələrdə də daxil edilməsi imkanları nəzərdən keçiriləcək.
İl ərzində aparılan sınaqlar xidmətin etibarlılığını və yaxşı performansını göstərdi, həmçinin DoH-nin problemlərə səbəb ola biləcəyi bəzi vəziyyətləri müəyyən etməyə və onlardan yan keçmək üçün həll yolları hazırlamağa imkan verdi (məsələn, sökülənlər). məzmun çatdırılması şəbəkələrində, valideyn nəzarətində və korporativ daxili DNS zonalarında trafikin optimallaşdırılması ilə).
DNS trafik şifrələməsinin əhəmiyyəti istifadəçilərin qorunmasında əsaslı vacib amil kimi qəbul edilir, ona görə də standart olaraq DoH-ni aktivləşdirmək qərara alındı, lakin ilk mərhələdə yalnız ABŞ-dan olan istifadəçilər üçün. DoH aktivləşdirildikdən sonra istifadəçiyə xəbərdarlıq göstəriləcək ki, bu da istəsən mərkəzləşdirilmiş DoH DNS serverlərinə daxil olmaqdan imtina etməyə və provayderin DNS serverinə şifrələnməmiş sorğuların göndərilməsinin ənənəvi sxeminə qayıtmağa imkan verəcək (paylanmış infrastruktur əvəzinə DNS həllediciləri, DoH, bir uğursuzluq nöqtəsi kimi qəbul edilə bilən xüsusi bir DoH xidmətinə bağlanmadan istifadə edir).
DoH aktivləşdirildikdə, intranet ünvanlarını və korporativ hostları həll etmək üçün yalnız daxili şəbəkə DNS ad strukturundan istifadə edən valideyn nəzarəti sistemləri və korporativ şəbəkələr pozula bilər. Bu cür sistemlərlə bağlı problemləri həll etmək üçün DoH-ni avtomatik söndürən yoxlama sistemi əlavə edilmişdir. Brauzer hər dəfə işə salındıqda və ya alt şəbəkə dəyişikliyi aşkar edildikdə yoxlamalar aparılır.
Əməliyyat sisteminin standart həlledicisinin istifadəsinə avtomatik qayıdış həmçinin DoH vasitəsilə həll zamanı nasazlıqlar olduqda (məsələn, DoH provayderi ilə şəbəkənin mövcudluğunun pozulması və ya onun infrastrukturunda nasazlıqlar olduqda) təmin edilir. Bu cür yoxlamaların mənası şübhəlidir, çünki heç kim həlledicinin işinə nəzarət edən və ya trafikə müdaxilə edə bilən təcavüzkarlara DNS trafikinin şifrələnməsini söndürmək üçün bu cür davranışı simulyasiya etməyə mane olmur. Problem parametrlərə "DoH həmişə" (defolt aktiv deyil) maddəsini əlavə etməklə həll edilir, təyin edildikdə, avtomatik bağlanma tətbiq edilmir, bu ağlabatan bir kompromisdir.
Müəssisə həlledicilərini müəyyən etmək üçün atipik birinci səviyyəli domenlər (TLD) üçün yoxlamalar aparılır və sistem həlledicisi intranet ünvanlarını qaytarır. Valideyn nəzarətinin aktiv olub-olmadığını müəyyən etmək üçün exampleadultsite.com adını həll etməyə cəhd edilir və nəticə faktiki IP ilə uyğun gəlmirsə, böyüklər üçün məzmunun bloklanmasının DNS səviyyəsində aktiv olduğu hesab edilir. Google və YouTube IP ünvanları, həmçinin məhdudlaşdırma.youtube.com, forcesafesearch.google.com və Restrictmoderate.youtube.com kimi saxtalaşdırılıb-saxtalanmadığını görmək üçün göstərici kimi yoxlanılır. Daha çox Mozilla tək test hostunu həyata keçirin , ISP-lər və valideyn nəzarəti xidmətləri tərəfindən DoH-ni söndürmək üçün bayraq kimi istifadə edilə bilər (əgər host tapılmazsa, Firefox DoH-ni söndürür).
Vahid DoH xidməti ilə işləmək DNS-dən istifadə edərək trafik balansını həyata keçirən məzmun çatdırılması şəbəkələrində trafikin optimallaşdırılması ilə bağlı problemlərə də səbəb ola bilər (CDN şəbəkəsinin DNS serveri həlledicinin ünvanını nəzərə alaraq cavab yaradır və ən yaxın hostu verir. məzmun almaq). Belə CDN-lərdə istifadəçiyə ən yaxın həlledicidən DNS sorğusunun göndərilməsi istifadəçiyə ən yaxın olan hostun ünvanını qaytarır, lakin mərkəzləşdirilmiş həlledicidən DNS sorğusunun göndərilməsi HTTPS-dən çox DNS serverinə ən yaxın olan host ünvanını qaytaracaq. Təcrübədə sınaq göstərdi ki, CDN-dən istifadə edərkən DNS-over-HTTP-dən istifadə praktiki olaraq məzmun ötürülməsi başlamazdan əvvəl gecikmələrə səbəb olmayıb (sürətli bağlantılar üçün gecikmələr 10 millisaniyədəni keçmirdi və hətta yavaş rabitə kanallarında sürətlənmə müşahidə olunurdu) ). Biz həmçinin müştəri yeri məlumatını CDN həlledicisinə ötürmək üçün EDNS Müştəri Alt Şəbəkə genişlənməsindən istifadə etməyi nəzərdən keçirdik.
Xatırladaq ki, DoH provayderlərin DNS serverləri vasitəsilə tələb olunan host adları haqqında məlumatların sızmasının qarşısını almaq, MITM hücumları və DNS trafik saxtakarlığına qarşı mübarizə aparmaq, DNS səviyyəsində bloklanmaya qarşı durmaq və ya birbaşa məlumat əldə etmək mümkün olmadıqda işin təşkili üçün faydalı ola bilər. DNS serverlərinə giriş (məsələn, proksi vasitəsilə işləyərkən). Normalda DNS sorğuları birbaşa sistem konfiqurasiyasında müəyyən edilmiş DNS serverlərinə göndərilsə də, DoH vəziyyətində, host IP ünvanını müəyyən etmək üçün sorğu HTTPS trafikinə daxil edilir və həlledicinin sorğuları emal etdiyi HTTP serverinə göndərilir. Veb API. Mövcud DNSSEC standartı yalnız müştəri və serverin autentifikasiyası üçün şifrələmədən istifadə edir, lakin trafiki ələ keçirməkdən qorumur və sorğuların məxfiliyinə zəmanət vermir.
About:config-də DoH-ni aktivləşdirmək üçün Firefox 60-dan bəri dəstəklənən network.trr.mode dəyişəninin dəyərini dəyişdirin. 0 dəyəri DoH-i tamamilə söndürür; 1 - DNS və ya DoH istifadə olunur, hansı daha sürətlidir; 2 - DoH standart olaraq istifadə olunur və DNS ehtiyat kimi istifadə olunur; 3 - yalnız DoH istifadə olunur; 4 - DoH və DNS-nin paralel olaraq istifadə edildiyi güzgü rejimi. CloudFlare-in DNS serveri standart olaraq istifadə olunur, lakin o, network.trr.uri parametri vasitəsilə dəyişdirilə bilər, məsələn, siz "https://dns.google.com/experimental" və ya "https://9.9.9.9" təyin edə bilərsiniz. /dns-sorğu ".
Mənbə: opennet.ru