Mga Developer sa Firefox mahitungod sa pagpagana sa DNS over HTTPS (DoH, DNS over HTTPS) nga mode nga default para sa US users. Ang pag-encrypt sa trapiko sa DNS gikonsiderar nga hinungdanon nga hinungdan sa pagpanalipod sa mga tiggamit. Sugod karong adlawa, ang tanang bag-ong mga instalasyon sa mga tiggamit sa US magpagana sa DoH pinaagi sa default. Ang mga kasamtangang tiggamit sa US gitakdang ibalhin sa DoH sulod sa pipila ka semana. Sa European Union ug uban pang kanasuran, i-activate ang DoH sa pagkakaron .
Human ma-aktibo ang DoH, usa ka pasidaan ang gipakita sa tiggamit, nga nagtugot, kung gusto, sa pagdumili sa pagkontak sa sentralisadong DoH DNS server ug pagbalik sa tradisyonal nga pamaagi sa pagpadala sa wala ma-encrypt nga mga pangutana sa DNS server sa provider. Imbes nga usa ka gipang-apod-apod nga imprastraktura sa mga DNS resolver, ang DoH migamit ug usa ka binding sa usa ka piho nga serbisyo sa DoH, nga maisip nga usa ka punto sa kapakyasan. Sa pagkakaron, ang trabaho gitanyag pinaagi sa duha ka DNS providers - CloudFlare (default) ug .
Usba ang provider o i-disable ang DoH sa mga setting sa koneksyon sa network. Pananglitan, mahimo nimong itakda ang alternatibong server sa DoH nga "https://dns.google/dns-query" aron ma-access ang mga server sa Google, "https://dns.quad9.net/dns-query" - Quad9 ug "https:/ /doh .opendns.com/dns-query" - OpenDNS. Mahitungod sa:config naghatag usab sa setting sa network.trr.mode, diin mahimo nimong usbon ang operating mode sa DoH: ang kantidad nga 0 hingpit nga nagpugong sa DoH; 1 - DNS o DoH ang gigamit, hain ang mas paspas; 2 - Ang DoH gigamit nga default, ug ang DNS gigamit ingon usa ka kapilian sa pag-backback; 3 - DoH ra ang gigamit; 4 - mirroring mode diin ang DoH ug DNS gigamit nga magkaparehas.
Hinumdomi nga ang DoH mahimong mapuslanon sa pagpugong sa mga pagtulo sa impormasyon bahin sa gihangyo nga mga host name pinaagi sa DNS servers sa mga providers, pagsumpo sa MITM attacks ug DNS traffic spoofing (pananglitan, kon magkonektar sa publikong Wi-Fi), pag-counter blocking sa DNS level (DoH). dili makapuli sa VPN sa lugar sa pag-bypass sa blocking nga gipatuman sa lebel sa DPI) o alang sa pag-organisar sa trabaho kung imposible nga direktang ma-access ang mga DNS server (pananglitan, kung nagtrabaho pinaagi sa usa ka proxy). Samtang sa usa ka normal nga kahimtang, ang mga hangyo sa DNS direkta nga gipadala sa mga server sa DNS nga gihubit sa pagsumpo sa sistema, sa kaso sa DoH, ang hangyo aron mahibal-an ang host IP address gilakip sa trapiko sa HTTPS ug gipadala sa HTTP server, diin ang solver. nagproseso sa mga hangyo pinaagi sa Web API. Ang kasamtangan nga sumbanan sa DNSSEC naggamit sa encryption lamang aron mapamatud-an ang kliyente ug server, apan dili manalipod sa trapiko gikan sa interception ug dili makagarantiya sa pagkakompidensyal sa mga hangyo.
Aron mapili ang DoH providers nga gitanyag sa Firefox, ngadto sa kasaligan nga mga DNS resolver, sumala sa diin ang DNS operator makagamit sa datos nga nadawat alang sa pagresolba lamang aron masiguro ang operasyon sa serbisyo, kinahanglan nga dili magtipig og mga log sulod sa sobra sa 24 ka oras, dili makabalhin sa datos ngadto sa mga ikatulo nga partido, ug gikinahanglan nga ibutyag ang impormasyon mahitungod sa mga pamaagi sa pagproseso sa datos. Ang serbisyo kinahanglan usab nga mopasalig nga dili mag-censor, magsala, manghilabot, o mag-block sa trapiko sa DNS, gawas kung gikinahanglan sa balaod.
Ang DoH kinahanglan gamiton uban ang pag-amping. Pananglitan, sa Russian Federation, ang mga IP address 104.16.248.249 ug 104.16.249.249 nga may kalabutan sa default nga DoH server nga mozilla.cloudflare-dns.com nga gitanyag sa Firefox, Π² sa hangyo sa korte sa Stavropol nga pinetsahan ug Hunyo 10.06.2013, XNUMX.
Ang DoH mahimo usab nga hinungdan sa mga problema sa mga lugar sama sa mga sistema sa pagkontrol sa ginikanan, pag-access sa mga internal nga namespace sa mga sistema sa korporasyon, pagpili sa ruta sa mga sistema sa pag-optimize sa paghatud sa sulud, ug pagsunod sa mga mando sa korte sa lugar sa pagbatok sa pag-apod-apod sa ilegal nga sulud ug pagpahimulos sa menor de edad. Aron malikayan ang ingon nga mga problema, usa ka sistema sa pagsusi ang gipatuman ug gisulayan nga awtomatiko nga nag-disable sa DoH sa pipila nga mga kondisyon.
Aron mahibal-an ang mga solver sa negosyo, ang mga dili tipikal nga first-level domain (TLDs) gisusi ug ang system resolver nagbalik sa mga adres sa intranet. Aron mahibal-an kung ang mga kontrol sa ginikanan gipagana, usa ka pagsulay nga gihimo aron masulbad ang ngalan nga exampleadultsite.com ug kung ang resulta dili motakdo sa aktuwal nga IP, kini gikonsiderar nga ang adult content blocking aktibo sa lebel sa DNS. Ang mga adres sa Google ug YouTube IP gisusi usab isip mga timailhan aron makita kung gipulihan ba sila sa restrict.youtube.com, forcesafesearch.google.com ug restrictmoderate.youtube.com. Kini nga mga tseke nagtugot sa mga tig-atake nga nagkontrol sa operasyon sa solver o makahimo sa pagpanghilabot sa trapiko sa pagsundog sa ingon nga kinaiya aron ma-disable ang pag-encrypt sa trapiko sa DNS.
Ang pagtrabaho pinaagi sa usa ka serbisyo sa DoH mahimo usab nga mosangput sa mga problema sa pag-optimize sa trapiko sa mga network sa paghatod sa sulud nga nagbalanse sa trapiko gamit ang DNS (ang DNS server sa CDN network nagmugna usa ka tubag nga gikonsiderar ang address sa solver ug naghatag sa labing duol nga host nga makadawat sa sulud). Ang pagpadala og DNS nga pangutana gikan sa solver nga labing duol sa user sa maong mga CDN moresulta sa pagbalik sa adres sa host nga labing duol sa user, apan ang pagpadala og DNS nga pangutana gikan sa usa ka sentralisadong solver ibalik ang host address nga labing duol sa DNS-over-HTTPS server . Ang pagsulay sa praktis nagpakita nga ang paggamit sa DNS-over-HTTP sa diha nga ang paggamit sa usa ka CDN mitultol sa halos walay mga paglangan sa wala pa magsugod ang pagbalhin sa sulod (alang sa paspas nga mga koneksyon, ang mga paglangay dili molapas sa 10 milliseconds, ug bisan ang mas paspas nga performance naobserbahan sa hinay nga mga channel sa komunikasyon. ). Ang paggamit sa extension sa EDNS Client Subnet giisip usab nga maghatag impormasyon sa lokasyon sa kliyente ngadto sa solver sa CDN.
Source: opennet.ru