Datblygwyr Firefox ynghylch galluogi DNS dros fodd HTTPS (DoH, DNS dros HTTPS) yn ddiofyn ar gyfer defnyddwyr yr Unol Daleithiau. Ystyrir bod amgryptio traffig DNS yn ffactor sylfaenol bwysig wrth amddiffyn defnyddwyr. Gan ddechrau heddiw, bydd yr Adran Iechyd wedi galluogi pob gosodiad newydd gan ddefnyddwyr yr Unol Daleithiau yn ddiofyn. Mae defnyddwyr presennol yr UD wedi'u hamserlennu i gael eu newid i'r Adran Iechyd o fewn ychydig wythnosau. Yn yr Undeb Ewropeaidd a gwledydd eraill, gweithredwch yr Adran Iechyd yn ddiofyn am y tro .
Ar ôl actifadu DoH, arddangosir rhybudd i'r defnyddiwr, sy'n caniatáu, os dymunir, i wrthod cysylltu â gweinyddwyr DNS canolog yr Adran Iechyd a dychwelyd i'r cynllun traddodiadol o anfon ymholiadau heb eu hamgryptio i weinydd DNS y darparwr. Yn lle seilwaith gwasgaredig o ddatryswyr DNS, mae'r Adran Iechyd yn defnyddio rhwymiad i wasanaeth Adran Iechyd penodol, y gellir ei ystyried yn un pwynt methiant. Ar hyn o bryd, cynigir gwaith trwy ddau ddarparwr DNS - CloudFlare (diofyn) a .
Newid darparwr neu analluogi'r Adran Iechyd yn y gosodiadau cysylltiad rhwydwaith. Er enghraifft, gallwch chi nodi gweinydd DoH amgen “https://dns.google/dns-query” i gael mynediad i weinyddion Google, “https://dns.quad9.net/dns-query” - Quad9 a “https:/ /doh .opendns.com/dns-query" - OpenDNS. Mae About:config hefyd yn darparu'r gosodiad network.trr.mode, lle gallwch chi newid modd gweithredu'r Adran Iechyd: mae gwerth o 0 yn analluogi DoH yn llwyr; 1 - Defnyddir DNS neu DoH, pa un bynnag sydd gyflymaf; 2 - Defnyddir DoH yn ddiofyn, a defnyddir DNS fel opsiwn wrth gefn; 3 - dim ond yr Adran Iechyd a ddefnyddir; 4 - modd adlewyrchu lle mae DoH a DNS yn cael eu defnyddio ochr yn ochr.
Gadewch inni gofio y gall yr Adran Iechyd fod yn ddefnyddiol ar gyfer atal gollyngiadau gwybodaeth am yr enwau gwesteiwr y gofynnwyd amdanynt trwy weinyddion DNS darparwyr, brwydro yn erbyn ymosodiadau MITM a ffugio traffig DNS (er enghraifft, wrth gysylltu â Wi-Fi cyhoeddus), gan atal blocio yn y DNS lefel (ni all DoH ddisodli VPN ym maes blocio osgoi a weithredir ar lefel DPI) neu ar gyfer trefnu gwaith os yw'n amhosibl cael mynediad uniongyrchol i weinyddion DNS (er enghraifft, wrth weithio trwy ddirprwy). Os yw ceisiadau DNS mewn sefyllfa arferol yn cael eu hanfon yn uniongyrchol at weinyddion DNS a ddiffinnir yng nghyfluniad y system, yna yn achos DoH, mae'r cais i bennu cyfeiriad IP y gwesteiwr wedi'i grynhoi mewn traffig HTTPS a'i anfon at y gweinydd HTTP, lle mae'r datryswr yn prosesu ceisiadau trwy'r Web API. Mae'r safon DNSSEC bresennol yn defnyddio amgryptio i ddilysu'r cleient a'r gweinydd yn unig, ond nid yw'n amddiffyn traffig rhag rhyng-gipio ac nid yw'n gwarantu cyfrinachedd ceisiadau.
I ddewis y darparwyr DoH a gynigir yn Firefox, i ddatryswyr DNS dibynadwy, yn ôl y gall y gweithredwr DNS ddefnyddio'r data a dderbyniwyd i'w ddatrys yn unig i sicrhau gweithrediad y gwasanaeth, rhaid iddo beidio â storio logiau am fwy na 24 awr, ni all drosglwyddo data i drydydd partïon ac mae'n ofynnol iddo ddatgelu gwybodaeth am dulliau prosesu data. Rhaid i'r gwasanaeth hefyd gytuno i beidio â sensro, hidlo, ymyrryd â neu rwystro traffig DNS, ac eithrio mewn sefyllfaoedd a ddarperir gan y gyfraith.
Dylid defnyddio'r Adran Iechyd gyda gofal. Er enghraifft, yn Ffederasiwn Rwsia, mae cyfeiriadau IP 104.16.248.249 a 104.16.249.249 yn gysylltiedig â'r gweinydd DoH rhagosodedig mozilla.cloudflare-dns.com a gynigir yn Firefox, в ar gais llys Stavropol dyddiedig Mehefin 10.06.2013, XNUMX.
Gall yr Adran Iechyd hefyd achosi problemau mewn meysydd megis systemau rheolaeth rhieni, mynediad i ofodau enwau mewnol mewn systemau corfforaethol, dewis llwybrau mewn systemau optimeiddio darparu cynnwys, a chydymffurfio â gorchmynion llys ym maes brwydro yn erbyn dosbarthiad cynnwys anghyfreithlon ac ecsbloetio dan oed. Er mwyn osgoi problemau o'r fath, mae system wirio wedi'i gweithredu a'i phrofi sy'n analluogi'r Adran Iechyd yn awtomatig o dan amodau penodol.
Er mwyn nodi datrysiadau menter, mae parthau lefel gyntaf annodweddiadol (TLDs) yn cael eu gwirio ac mae datryswr y system yn dychwelyd cyfeiriadau mewnrwyd. I benderfynu a yw rheolaethau rhieni wedi'u galluogi, gwneir ymgais i ddatrys yr enw exampleadultsite.com ac os nad yw'r canlyniad yn cyfateb i'r IP gwirioneddol, ystyrir bod blocio cynnwys oedolion yn weithredol ar lefel DNS. Mae cyfeiriadau IP Google a YouTube hefyd yn cael eu gwirio fel arwyddion i weld a ydyn nhw wedi cael eu disodli gan limit.youtube.com, forceafesearch.google.com a limitmoderate.youtube.com. Mae'r gwiriadau hyn yn caniatáu i ymosodwyr sy'n rheoli gweithrediad y datryswr neu sy'n gallu ymyrryd â thraffig efelychu ymddygiad o'r fath i analluogi amgryptio traffig DNS.
Gall gweithio trwy un gwasanaeth Adran Iechyd hefyd o bosibl arwain at broblemau gydag optimeiddio traffig mewn rhwydweithiau darparu cynnwys sy'n cydbwyso traffig gan ddefnyddio DNS (mae gweinydd DNS y rhwydwaith CDN yn cynhyrchu ymateb gan ystyried y cyfeiriad datryswr ac yn darparu'r gwesteiwr agosaf i dderbyn y cynnwys). Mae anfon ymholiad DNS o'r datryswr sydd agosaf at y defnyddiwr mewn CDNs o'r fath yn arwain at ddychwelyd cyfeiriad y gwesteiwr sydd agosaf at y defnyddiwr, ond bydd anfon ymholiad DNS o ddatryswr canolog yn dychwelyd y cyfeiriad gwesteiwr sydd agosaf at y gweinydd DNS-over-HTTPS . Dangosodd profion ymarferol fod y defnydd o DNS-over-HTTP wrth ddefnyddio CDN wedi arwain at fawr ddim oedi cyn dechrau trosglwyddo cynnwys (ar gyfer cysylltiadau cyflym, nid oedd oedi yn fwy na 10 milieiliad, a gwelwyd perfformiad cyflymach fyth ar sianeli cyfathrebu araf ). Ystyriwyd hefyd bod defnyddio estyniad Is-rwydwaith Cleient EDNS yn darparu gwybodaeth am leoliad cleient i ddatryswr CDN.
Ffynhonnell: opennet.ru