Firefox Garatzaileak
DoH aktibatu ondoren, abisu bat bistaratzen zaio erabiltzaileari, eta horri esker, nahi izanez gero, DoH DNS zerbitzari zentralizatuekin harremanetan jartzeari uko egin eta hornitzailearen DNS zerbitzariari zifratu gabeko kontsultak bidaltzeko ohiko eskemara itzultzeko. DNS konpontzaileen azpiegitura banatuaren ordez, DoH-k DoH zerbitzu jakin baterako lotura bat erabiltzen du, hutsegite puntu bakartzat har daitekeena. Gaur egun, lana bi DNS hornitzaileren bidez eskaintzen da - CloudFlare (lehenetsia) eta
Aldatu hornitzailea edo desgaitu DoH
Gogora dezagun DoH hornitzaileen DNS zerbitzarien bidez eskatutako ostalari-izenei buruzko informazio-ihesak saihesteko baliagarria izan daitekeela, MITM erasoei eta DNS trafikoaren faltsioari aurre egiteko (adibidez, Wi-Fi publikora konektatzean), DNSn blokeatzeari aurre egiteko. maila (DoH-k ezin du ordezkatu VPN bat DPI mailan inplementatutako blokeoa saihesteko eremuan) edo lana antolatzeko DNS zerbitzarietara zuzenean sartzea ezinezkoa bada (adibidez, proxy baten bidez lan egiten denean). Egoera normal batean DNS eskaerak sistemaren konfigurazioan definitutako DNS zerbitzarietara zuzenean bidaltzen badira, DoH-ren kasuan, ostalariaren IP helbidea zehazteko eskaera HTTPS trafikoan kapsulatzen da eta HTTP zerbitzarira bidaltzen da, non konpontzaileak prozesatzen duen. eskaerak Web APIaren bidez. Lehendik dagoen DNSSEC estandarrak enkriptatzea erabiltzen du bezeroa eta zerbitzaria autentifikatzeko soilik, baina ez du trafikoa atzematetik babesten eta ez du eskaeren konfidentzialtasuna bermatzen.
Firefoxen eskaintzen diren DoH hornitzaileak hautatzeko,
DoH kontu handiz erabili behar da. Adibidez, Errusiar Federazioan, Firefox-en eskaintzen den mozilla.cloudflare-dns.com DoH zerbitzari lehenetsiarekin lotutako 104.16.248.249 eta 104.16.249.249 IP helbideak,
DoH-k arazoak ere sor ditzake gurasoen kontrol sistemetan, sistema korporatiboetan barneko izen-espazioetarako sarbidea, edukiak entregatzeko optimizazio sistemetan ibilbideak hautatzea eta legez kanpoko edukiaren banaketaren eta ustiapenaren aurkako epaitegien aginduak betetzea. adingabeak. Arazo horiek saihesteko, baldintza jakin batzuetan DoH automatikoki desgaitzen duen egiaztapen sistema bat ezarri eta probatu da.
Enpresa-ebazleak identifikatzeko, lehen mailako domeinu atipikoak (TLD) egiaztatzen dira eta sistema-ebazleak intraneteko helbideak itzultzen ditu. Gurasoen kontrola gaituta dagoen zehazteko, exampleadultsite.com izena ebazten saiatzen da eta emaitza benetako IParekin bat ez badator, helduen edukien blokeoa aktibo dagoela DNS mailan jotzen da. Google eta YouTube IP helbideak seinale gisa ere egiaztatzen dira restrit.youtube.com, forcesafesearch.google.com eta restrictmoderate.youtube.com-ekin ordezkatu diren ikusteko. Egiaztapen horiei esker, konpontzailearen funtzionamendua kontrolatzen duten edo trafikoa oztopatzeko gai diren erasotzaileek jokaera hori simula dezakete DNS trafikoaren enkriptatzea desgaitzeko.
DoH zerbitzu bakar baten bidez lan egiteak DNS erabiliz trafikoa orekatzen duten edukiak bidaltzeko sareetan trafikoa optimizatzeko arazoak ere sor ditzake (CDN sareko DNS zerbitzariak erantzun bat sortzen du ebazteko helbidea kontuan hartuta eta edukia jasotzeko gertuen dagoen ostalaria eskaintzen du). Horrelako CDNetan erabiltzailearengandik gertuen dagoen ebatzailetik DNS kontsulta bat bidaltzeak erabiltzailearengandik hurbilen dagoen ostalariaren helbidea itzultzen du, baina ebatzaile zentralizatu batetik DNS kontsulta bat bidaltzeak DNS-over-HTTPS zerbitzaritik hurbilen dagoen ostalariaren helbidea itzuliko du. . Praktikan egindako probek frogatu zuten CDN bat erabiltzean DNS-over-HTTP erabiltzeak ia ez zuela atzerapenik ekarri edukien transferentzia hasi aurretik (konexio azkarretarako, atzerapenak ez ziren 10 milisegundotik gorakoak izan, eta are errendimendu azkarragoa ikusi zen komunikazio-kanal moteletan ). EDNS Bezeroaren azpisarearen luzapena erabiltzea ere kontuan hartu zen bezeroaren kokapenari buruzko informazioa CDN ebatzaileari emateko.
Iturria: opennet.ru