Firefox Garatzaileak DNS HTTPS bidez (DoH, DNS HTTPS bidez) modu lehenetsian gaitzeari buruz, AEBetako erabiltzaileentzat. DNS trafikoaren enkriptatzea erabiltzaileak babesteko funtsezko faktoretzat hartzen da. Gaurtik aurrera, AEBetako erabiltzaileen instalazio berri guztiek DoH gaituta izango dute lehenespenez. AEBetako lehendik dauden erabiltzaileak DoHra aldatzea aurreikusita dago aste gutxiren buruan. Europar Batasunean eta beste herrialde batzuetan, aktibatu DoH modu lehenetsian oraingoz .
DoH aktibatu ondoren, abisu bat bistaratzen zaio erabiltzaileari, eta horri esker, nahi izanez gero, DoH DNS zerbitzari zentralizatuekin harremanetan jartzeari uko egin eta hornitzailearen DNS zerbitzariari zifratu gabeko kontsultak bidaltzeko ohiko eskemara itzultzeko. DNS konpontzaileen azpiegitura banatuaren ordez, DoH-k DoH zerbitzu jakin baterako lotura bat erabiltzen du, hutsegite puntu bakartzat har daitekeena. Gaur egun, lana bi DNS hornitzaileren bidez eskaintzen da - CloudFlare (lehenetsia) eta .
Aldatu hornitzailea edo desgaitu DoH sareko konexioaren ezarpenetan. Adibidez, DoH zerbitzari alternatibo bat zehaztu dezakezu "https://dns.google/dns-query" Google zerbitzarietara sartzeko, "https://dns.quad9.net/dns-query" - Quad9 eta "https:/". /doh .opendns.com/dns-query" - OpenDNS. About:config-ek network.trr.mode ezarpena ere eskaintzen du, eta horren bidez DoH funtzionamendu modua alda dezakezu: 0 balio batek DoH erabat desgaitzen du; 1 - DNS edo DoH erabiltzen da, azkarragoa dena; 2 - DoH erabiltzen da lehenespenez, eta DNS ordezko aukera gisa erabiltzen da; 3 - DoH bakarrik erabiltzen da; 4 - DoH eta DNS paraleloki erabiltzen diren ispilu modua.
Gogora dezagun DoH hornitzaileen DNS zerbitzarien bidez eskatutako ostalari-izenei buruzko informazio-ihesak saihesteko baliagarria izan daitekeela, MITM erasoei eta DNS trafikoaren faltsioari aurre egiteko (adibidez, Wi-Fi publikora konektatzean), DNSn blokeatzeari aurre egiteko. maila (DoH-k ezin du ordezkatu VPN bat DPI mailan inplementatutako blokeoa saihesteko eremuan) edo lana antolatzeko DNS zerbitzarietara zuzenean sartzea ezinezkoa bada (adibidez, proxy baten bidez lan egiten denean). Egoera normal batean DNS eskaerak sistemaren konfigurazioan definitutako DNS zerbitzarietara zuzenean bidaltzen badira, DoH-ren kasuan, ostalariaren IP helbidea zehazteko eskaera HTTPS trafikoan kapsulatzen da eta HTTP zerbitzarira bidaltzen da, non konpontzaileak prozesatzen duen. eskaerak Web APIaren bidez. Lehendik dagoen DNSSEC estandarrak enkriptatzea erabiltzen du bezeroa eta zerbitzaria autentifikatzeko soilik, baina ez du trafikoa atzematetik babesten eta ez du eskaeren konfidentzialtasuna bermatzen.
Firefoxen eskaintzen diren DoH hornitzaileak hautatzeko, DNS konpontzaile fidagarriei, hauen arabera, DNS operadoreak ebazpenerako jasotako datuak zerbitzuaren funtzionamendua bermatzeko soilik erabil ditzake, ez ditu erregistroak gorde behar 24 ordu baino gehiagotan, ezin ditu hirugarrenei datuak transferitu eta behartuta dago informazioa ezagutzera. datuak tratatzeko metodoak. Zerbitzuak ere onartu behar du DNS trafikoa ez zentsuratu, iragazi, oztopatu edo blokeatzea, legeak aurreikusitako egoeretan izan ezik.
DoH kontu handiz erabili behar da. Adibidez, Errusiar Federazioan, Firefox-en eskaintzen den mozilla.cloudflare-dns.com DoH zerbitzari lehenetsiarekin lotutako 104.16.248.249 eta 104.16.249.249 IP helbideak, Π² 10.06.2013ko ekainaren XNUMXeko Stavropol auzitegiak eskatuta.
DoH-k arazoak ere sor ditzake gurasoen kontrol sistemetan, sistema korporatiboetan barneko izen-espazioetarako sarbidea, edukiak entregatzeko optimizazio sistemetan ibilbideak hautatzea eta legez kanpoko edukiaren banaketaren eta ustiapenaren aurkako epaitegien aginduak betetzea. adingabeak. Arazo horiek saihesteko, baldintza jakin batzuetan DoH automatikoki desgaitzen duen egiaztapen sistema bat ezarri eta probatu da.
Enpresa-ebazleak identifikatzeko, lehen mailako domeinu atipikoak (TLD) egiaztatzen dira eta sistema-ebazleak intraneteko helbideak itzultzen ditu. Gurasoen kontrola gaituta dagoen zehazteko, exampleadultsite.com izena ebazten saiatzen da eta emaitza benetako IParekin bat ez badator, helduen edukien blokeoa aktibo dagoela DNS mailan jotzen da. Google eta YouTube IP helbideak seinale gisa ere egiaztatzen dira restrit.youtube.com, forcesafesearch.google.com eta restrictmoderate.youtube.com-ekin ordezkatu diren ikusteko. Egiaztapen horiei esker, konpontzailearen funtzionamendua kontrolatzen duten edo trafikoa oztopatzeko gai diren erasotzaileek jokaera hori simula dezakete DNS trafikoaren enkriptatzea desgaitzeko.
DoH zerbitzu bakar baten bidez lan egiteak DNS erabiliz trafikoa orekatzen duten edukiak bidaltzeko sareetan trafikoa optimizatzeko arazoak ere sor ditzake (CDN sareko DNS zerbitzariak erantzun bat sortzen du ebazteko helbidea kontuan hartuta eta edukia jasotzeko gertuen dagoen ostalaria eskaintzen du). Horrelako CDNetan erabiltzailearengandik gertuen dagoen ebatzailetik DNS kontsulta bat bidaltzeak erabiltzailearengandik hurbilen dagoen ostalariaren helbidea itzultzen du, baina ebatzaile zentralizatu batetik DNS kontsulta bat bidaltzeak DNS-over-HTTPS zerbitzaritik hurbilen dagoen ostalariaren helbidea itzuliko du. . Praktikan egindako probek frogatu zuten CDN bat erabiltzean DNS-over-HTTP erabiltzeak ia ez zuela atzerapenik ekarri edukien transferentzia hasi aurretik (konexio azkarretarako, atzerapenak ez ziren 10 milisegundotik gorakoak izan, eta are errendimendu azkarragoa ikusi zen komunikazio-kanal moteletan ). EDNS Bezeroaren azpisarearen luzapena erabiltzea ere kontuan hartu zen bezeroaren kokapenari buruzko informazioa CDN ebatzaileari emateko.
Iturria: opennet.ru