Mga Developer sa Firefox mahitungod sa pagkompleto sa pagsulay sa suporta alang sa DNS sa ibabaw sa HTTPS (DoH, DNS sa ibabaw sa HTTPS) ug sa tuyo nga makahimo niini nga teknolohiya pinaagi sa default alang sa US tiggamit sa katapusan sa Septyembre. Ang pagpaaktibo pagahimoon nga progresibo, sa sinugdan alang sa pipila ka porsyento sa mga tiggamit, ug kung walaβy mga problema, anam-anam nga pagtaas sa 100%. Kung masakop na ang US, ikonsiderar ang DoH nga ilakip sa ubang mga nasud.
Ang mga pagsulay nga gihimo sa tibuok tuig nagpakita sa pagkakasaligan ug maayo nga performance sa serbisyo, ug gihimo usab nga posible ang pag-ila sa pipila ka mga sitwasyon diin ang DoH mahimong mosangpot sa mga problema ug makahimo og mga solusyon aron malikayan kini (pananglitan, gibungkag nga adunay pag-optimize sa trapiko sa mga network sa paghatud sa sulud, mga kontrol sa ginikanan ug mga internal nga DNS zone sa korporasyon).
Ang kamahinungdanon sa pag-encrypt sa trapiko sa DNS gisusi ingon usa ka sukaranan nga hinungdanon nga hinungdan sa pagpanalipod sa mga tiggamit, mao nga nakahukom nga mahimo ang DoH sa default, apan sa una nga yugto alang lamang sa mga tiggamit gikan sa Estados Unidos. Human ma-activate ang DoH, ang user makadawat og pasidaan nga magtugot, kon gusto, sa pagdumili sa pagkontak sa sentralisadong DoH DNS servers ug mobalik sa tradisyonal nga pamaagi sa pagpadala sa wala ma-encrypt nga mga hangyo ngadto sa DNS server sa provider (imbes sa usa ka gipang-apod-apod nga imprastraktura sa DNS resolvers, Gigamit sa DoH ang pagbugkos sa usa ka piho nga serbisyo sa DoH, nga maisip nga usa ka punto sa kapakyasan).
Kung gi-activate ang DoH, ang mga parental control system ug corporate networks nga naggamit sa internal network-only DNS name structure aron masulbad ang intranet address ug corporate hosts mahimong mabalda. Aron masulbad ang mga problema sa ingon nga mga sistema, usa ka sistema sa pagsusi ang gidugang nga awtomatiko nga nagpugong sa DoH. Ang mga pagsusi gihimo sa matag higayon nga ang browser gilansad o kung ang pagbag-o sa subnet nakit-an.
Ang awtomatik nga pagbalik sa paggamit sa standard operating system nga solver gihatag usab kung ang mga kapakyasan mahitabo sa panahon sa resolusyon pinaagi sa DoH (pananglitan, kung ang pagkaanaa sa network uban sa DoH provider mabalda o adunay mga kapakyasan sa imprastraktura niini). Ang kahulogan sa maong mga pagsusi kuwestiyonable, tungod kay walay makapugong sa mga tig-atake nga nagkontrolar sa operasyon sa solver o makahimo sa pagpanghilabot sa trapiko gikan sa pagsundog sa susamang kinaiya aron dili ma-disable ang pag-encrypt sa trapiko sa DNS. Nasulbad ang problema pinaagi sa pagdugang sa butang nga "DoH kanunay" sa mga setting (hilom nga dili aktibo), kung gitakda, ang awtomatik nga pagsira dili magamit, nga usa ka makatarunganon nga pagkompromiso.
Aron mahibal-an ang mga solver sa negosyo, ang mga dili tipikal nga first-level domain (TLDs) gisusi ug ang system resolver nagbalik sa mga adres sa intranet. Aron mahibal-an kung ang mga kontrol sa ginikanan gipagana, usa ka pagsulay nga gihimo aron masulbad ang ngalan nga exampleadultsite.com ug kung ang resulta dili motakdo sa aktuwal nga IP, kini gikonsiderar nga ang adult content blocking aktibo sa lebel sa DNS. Ang mga adres sa Google ug YouTube IP gisusi usab isip mga timailhan aron makita kung gipulihan ba sila sa restrict.youtube.com, forcesafesearch.google.com ug restrictmoderate.youtube.com. Dugang nga Mozilla ipatuman ang usa ka host sa pagsulay , nga mahimong gamiton sa mga ISP ug parental control services isip bandila aron dili ma-disable ang DoH (kon ang host dili ma-detect, ang Firefox mag-disable sa DoH).
Ang pagtrabaho pinaagi sa usa ka serbisyo sa DoH mahimo usab nga mosangput sa mga problema sa pag-optimize sa trapiko sa mga network sa paghatod sa sulud nga nagbalanse sa trapiko gamit ang DNS (ang DNS server sa CDN network nagmugna usa ka tubag nga gikonsiderar ang address sa solver ug naghatag sa labing duol nga host nga makadawat sa sulud). Ang pagpadala og DNS nga pangutana gikan sa solver nga labing duol sa user sa maong mga CDN moresulta sa pagbalik sa adres sa host nga labing duol sa user, apan ang pagpadala og DNS nga pangutana gikan sa usa ka sentralisadong solver ibalik ang host address nga labing duol sa DNS-over-HTTPS server . Ang pagsulay sa praktis nagpakita nga ang paggamit sa DNS-over-HTTP sa diha nga ang paggamit sa usa ka CDN mitultol sa halos walay mga paglangan sa wala pa magsugod ang pagbalhin sa sulod (alang sa paspas nga mga koneksyon, ang mga paglangay dili molapas sa 10 milliseconds, ug bisan ang mas paspas nga performance naobserbahan sa hinay nga mga channel sa komunikasyon. ). Ang paggamit sa extension sa EDNS Client Subnet giisip usab nga maghatag impormasyon sa lokasyon sa kliyente ngadto sa solver sa CDN.
Hinumdumi nga ang DoH mahimong mapuslanon aron mapugngan ang mga pagtulo sa kasayuran bahin sa gihangyo nga mga ngalan sa host pinaagi sa mga server sa DNS sa mga provider, aron mapugngan ang mga pag-atake sa MITM ug pag-spoof sa trapiko sa DNS, aron mapugngan ang pagbabag sa lebel sa DNS, o aron maorganisar ang trabaho kung dili mahimo nga direkta. pag-access sa mga DNS server. (pananglitan, kung nagtrabaho pinaagi sa usa ka proxy). Samtang sa kasagaran ang mga hangyo sa DNS gipadala direkta ngadto sa mga DNS server nga gihubit sa configuration sa sistema, sa kaso sa DoH, ang hangyo sa pagtino sa host IP address gisulod sa trapiko sa HTTPS ug gipadala ngadto sa HTTP server, diin ang solver nagproseso sa mga hangyo pinaagi sa ang Web API. Ang kasamtangan nga DNSSEC nga sumbanan naggamit sa encryption lamang sa pag-authenticate sa kliyente ug server, apan dili manalipod sa trapiko gikan sa interception ug dili garantiya sa confidentiality sa mga hangyo.
Aron mahimo ang DoH sa about:config, usba ang bili sa network.trr.mode variable, nga gisuportahan sukad sa Firefox 60. Ang usa ka value nga 0 makapugong sa DoH sa hingpit; 1 - DNS o DoH ang gigamit, hain ang mas paspas; 2 - Ang DoH gigamit sa default, ug ang DNS gigamit isip usa ka fallback; 3 - DoH ra ang gigamit; 4 - mirroring mode diin ang DoH ug DNS gigamit nga magkaparehas. Ang DNS server sa CloudFlare gigamit nga default, apan mahimo kini usbon pinaagi sa parameter sa network.trr.uri, pananglitan, mahimo nimong itakda ang "https://dns.google.com/experimental" o "https://9.9.9.9 /dns-query ".
Source: opennet.ru