Datblygwyr Firefox ynghylch cwblhau cymorth profi ar gyfer DNS dros HTTPS (DoH, DNS dros HTTPS) a'r bwriad i alluogi'r dechnoleg hon yn ddiofyn ar gyfer defnyddwyr yr Unol Daleithiau ar ddiwedd mis Medi. Bydd y activation yn cael ei wneud yn raddol, i ddechrau ar gyfer ychydig y cant o ddefnyddwyr, ac os nad oes unrhyw broblemau, yn cynyddu'n raddol i 100%. Unwaith y bydd yr UD wedi'i chwmpasu, bydd yr Adran Iechyd yn cael ei hystyried i'w chynnwys mewn gwledydd eraill.
Dangosodd profion a gynhaliwyd drwy gydol y flwyddyn ddibynadwyedd a pherfformiad da’r gwasanaeth, a gwnaethant hefyd hi’n bosibl nodi rhai sefyllfaoedd lle gall yr Adran Iechyd arwain at broblemau a datblygu atebion i’w hosgoi (er enghraifft, dadosod gydag optimeiddio traffig mewn rhwydweithiau darparu cynnwys, rheolaethau rhieni a pharthau DNS mewnol corfforaethol).
Mae pwysigrwydd amgryptio traffig DNS yn cael ei asesu fel ffactor sylfaenol bwysig wrth amddiffyn defnyddwyr, felly penderfynwyd galluogi DoH yn ddiofyn, ond yn y cam cyntaf yn unig ar gyfer defnyddwyr o'r Unol Daleithiau. Ar ôl actifadu DoH, bydd y defnyddiwr yn derbyn rhybudd a fydd yn caniatáu, os dymunir, i wrthod cysylltu â gweinyddwyr DNS canolog yr Adran Iechyd a dychwelyd i'r cynllun traddodiadol o anfon ceisiadau heb eu hamgryptio i weinydd DNS y darparwr (yn lle seilwaith dosbarthedig o ddatryswyr DNS, Mae'r Adran Iechyd yn defnyddio rhwymiad i wasanaeth Adran Iechyd penodol , y gellir ei ystyried yn un pwynt methiant).
Os caiff yr Adran Iechyd ei actifadu, mae'n bosibl y bydd tarfu ar systemau rheoli rhieni a rhwydweithiau corfforaethol sy'n defnyddio'r strwythur enwau DNS rhwydwaith mewnol yn unig i ddatrys cyfeiriadau mewnrwyd a gwesteiwyr corfforaethol. I ddatrys problemau gyda systemau o'r fath, mae system o wiriadau wedi'i hychwanegu sy'n analluogi'r Adran Iechyd yn awtomatig. Cynhelir gwiriadau bob tro y caiff y porwr ei lansio neu pan ganfyddir newid is-rwydwaith.
Darperir dychweliad awtomatig i ddefnyddio'r datryswr system weithredu safonol hefyd os bydd methiannau'n digwydd yn ystod datrysiad trwy'r Adran Iechyd (er enghraifft, os amharir ar argaeledd rhwydwaith gyda darparwr yr Adran Iechyd neu os bydd ei seilwaith yn methu). Mae ystyr gwiriadau o'r fath yn amheus, gan nad oes neb yn atal ymosodwyr sy'n rheoli gweithrediad y datryswr neu sy'n gallu ymyrryd â thraffig rhag efelychu ymddygiad tebyg i analluogi amgryptio traffig DNS. Datryswyd y broblem trwy ychwanegu'r eitem “DoH bob amser” i'r gosodiadau (yn dawel anweithredol), pan fydd wedi'i osod, ni chaiff diffodd awtomatig ei gymhwyso, sy'n gyfaddawd rhesymol.
Er mwyn nodi datrysiadau menter, mae parthau lefel gyntaf annodweddiadol (TLDs) yn cael eu gwirio ac mae datryswr y system yn dychwelyd cyfeiriadau mewnrwyd. I benderfynu a yw rheolaethau rhieni wedi'u galluogi, gwneir ymgais i ddatrys yr enw exampleadultsite.com ac os nad yw'r canlyniad yn cyfateb i'r IP gwirioneddol, ystyrir bod blocio cynnwys oedolion yn weithredol ar lefel DNS. Mae cyfeiriadau IP Google a YouTube hefyd yn cael eu gwirio fel arwyddion i weld a ydyn nhw wedi cael eu disodli gan limit.youtube.com, forceafesearch.google.com a limitmoderate.youtube.com. Mozilla ychwanegol gweithredu un gwesteiwr prawf , y gall ISPs a gwasanaethau rheoli rhieni ei defnyddio fel baner i analluogi DoH (os na chaiff y gwesteiwr ei ganfod, mae Firefox yn analluogi DoH).
Gall gweithio trwy un gwasanaeth Adran Iechyd hefyd o bosibl arwain at broblemau gydag optimeiddio traffig mewn rhwydweithiau darparu cynnwys sy'n cydbwyso traffig gan ddefnyddio DNS (mae gweinydd DNS y rhwydwaith CDN yn cynhyrchu ymateb gan ystyried y cyfeiriad datryswr ac yn darparu'r gwesteiwr agosaf i dderbyn y cynnwys). Mae anfon ymholiad DNS o'r datryswr sydd agosaf at y defnyddiwr mewn CDNs o'r fath yn arwain at ddychwelyd cyfeiriad y gwesteiwr sydd agosaf at y defnyddiwr, ond bydd anfon ymholiad DNS o ddatryswr canolog yn dychwelyd y cyfeiriad gwesteiwr sydd agosaf at y gweinydd DNS-over-HTTPS . Dangosodd profion ymarferol fod y defnydd o DNS-over-HTTP wrth ddefnyddio CDN wedi arwain at fawr ddim oedi cyn dechrau trosglwyddo cynnwys (ar gyfer cysylltiadau cyflym, nid oedd oedi yn fwy na 10 milieiliad, a gwelwyd perfformiad cyflymach fyth ar sianeli cyfathrebu araf ). Ystyriwyd hefyd bod defnyddio estyniad Is-rwydwaith Cleient EDNS yn darparu gwybodaeth am leoliad cleient i ddatryswr CDN.
Gadewch inni gofio y gall yr Adran Iechyd fod yn ddefnyddiol ar gyfer atal gollyngiadau o wybodaeth am yr enwau gwesteiwr y gofynnwyd amdanynt trwy weinyddion DNS darparwyr, brwydro yn erbyn ymosodiadau MITM a ffugio traffig DNS, atal blocio ar lefel DNS, neu ar gyfer trefnu gwaith os bydd hynny'n digwydd. yn amhosibl cael mynediad uniongyrchol at weinyddion DNS (er enghraifft, wrth weithio trwy ddirprwy). Os yw ceisiadau DNS mewn sefyllfa arferol yn cael eu hanfon yn uniongyrchol at weinyddion DNS a ddiffinnir yng nghyfluniad y system, yna yn achos DoH, mae'r cais i bennu cyfeiriad IP y gwesteiwr wedi'i grynhoi mewn traffig HTTPS a'i anfon at y gweinydd HTTP, lle mae'r datryswr yn prosesu ceisiadau trwy'r Web API. Mae'r safon DNSSEC bresennol yn defnyddio amgryptio i ddilysu'r cleient a'r gweinydd yn unig, ond nid yw'n amddiffyn traffig rhag rhyng-gipio ac nid yw'n gwarantu cyfrinachedd ceisiadau.
I alluogi DoH yn about:config, rhaid i chi newid gwerth y newidyn network.trr.mode, sydd wedi'i gynnal ers Firefox 60. Mae gwerth o 0 yn analluogi DoH yn gyfan gwbl; 1 - Defnyddir DNS neu DoH, pa un bynnag sydd gyflymaf; 2 - Defnyddir DoH yn ddiofyn, a defnyddir DNS fel opsiwn wrth gefn; 3 - dim ond yr Adran Iechyd a ddefnyddir; 4 - modd adlewyrchu lle mae DoH a DNS yn cael eu defnyddio ochr yn ochr. Yn ddiofyn, defnyddir gweinydd DNS CloudFlare, ond gellir ei newid trwy baramedr network.trr.uri, er enghraifft, gallwch chi osod “https://dns.google.com/experimental” neu “https://9.9.9.9. .XNUMX/dns- ymholiad "
Ffynhonnell: opennet.ru