Firefox Garatzaileak HTTPS bidez DNS (DoH, DNS HTTPS bidez) probak egiteko laguntza amaitzeari buruz eta irailaren amaieran AEBetako erabiltzaileentzat teknologia hori lehenespenez gaitzeko asmoari buruz. Aktibazioa progresiboki egingo da, hasieran erabiltzaileen ehuneko gutxi batzuentzat, eta arazorik ez badago, pixkanaka %100era igoz. AEBak estalita daudenean, DoH beste herrialde batzuetan sartzeko kontuan hartuko da.
Urtean zehar egindako probek zerbitzuaren fidagarritasuna eta errendimendu ona erakutsi zuten, eta DoHk arazoak sor ditzakeen egoera batzuk identifikatzea eta horiek saihesteko irtenbideak garatzea ere ahalbidetu zuten (adibidez, desmuntatuak). edukiak emateko sareetan, gurasoen kontroletan eta korporazio barneko DNS guneetan trafikoaren optimizazioarekin).
DNS trafikoa zifratzearen garrantzia erabiltzaileak babesteko funtsezko faktore gisa baloratzen da, beraz, DoH lehenespenez gaitzea erabaki zen, baina lehen fasean Estatu Batuetako erabiltzaileentzat soilik. DoH aktibatu ondoren, erabiltzaileak abisu bat jasoko du, nahi izanez gero, DoH DNS zerbitzari zentralizatuekin harremanetan jartzeari uko egin eta hornitzailearen DNS zerbitzariari zifratu gabeko eskaerak bidaltzeko eskema tradizionalera itzultzeko (DNS ebatzaileen azpiegitura banatuaren ordez, DoH-k DoH zerbitzu zehatz batekin lotzea erabiltzen du, hutsegite puntu bakartzat har daitekeena).
DoH aktibatuta badago, intranet helbideak eta ostalari korporatiboak ebazteko barne-sareko DNS izen-egitura erabiltzen duten gurasoen kontrol-sistemak eta sare korporatiboak eten daitezke. Horrelako sistemen arazoak konpontzeko, DoH automatikoki desgaitzen duen egiaztapen-sistema bat gehitu da. Arakatzailea abiarazten den bakoitzean edo azpisare aldaketa bat detektatzen denean egiten dira egiaztapenak.
Sistema eragile estandarraren konponbidea erabiltzeko itzulera automatikoa ere ematen da DoH bidez ebazten diren bitartean akatsak gertatzen badira (adibidez, DoH hornitzailearekin sarearen erabilgarritasuna eten egiten bada edo bere azpiegituran hutsegiteak gertatzen badira). Egiaztapen horien esanahia zalantzazkoa da, inork ez baitie ebazteko funtzionamendua kontrolatzen duten edo trafikoa oztopatzeko gai diren erasotzaileei DNS trafikoaren enkriptatzea desgaitzeko antzeko portaera simulatzea eragozten. Arazoa "DoH beti" elementua ezarpenetara gehituz konpondu zen (isilean inaktibo), ezarrita dagoenean, itzaltze automatikoa ez da aplikatzen, hau da, arrazoizko konpromisoa.
Enpresa-ebazleak identifikatzeko, lehen mailako domeinu atipikoak (TLD) egiaztatzen dira eta sistema-ebazleak intraneteko helbideak itzultzen ditu. Gurasoen kontrola gaituta dagoen zehazteko, exampleadultsite.com izena ebazten saiatzen da eta emaitza benetako IParekin bat ez badator, helduen edukien blokeoa aktibo dagoela DNS mailan jotzen da. Google eta YouTube IP helbideak seinale gisa ere egiaztatzen dira restrit.youtube.com, forcesafesearch.google.com eta restrictmoderate.youtube.com-ekin ordezkatu diren ikusteko. Mozilla gehigarria inplementatu proba ostalari bakarra , ISPek eta gurasoen kontrol zerbitzuek DoH desgaitzeko bandera gisa erabil dezaketena (ostalaria detektatzen ez bada, Firefoxek DoH desgaitzen du).
DoH zerbitzu bakar baten bidez lan egiteak DNS erabiliz trafikoa orekatzen duten edukiak bidaltzeko sareetan trafikoa optimizatzeko arazoak ere sor ditzake (CDN sareko DNS zerbitzariak erantzun bat sortzen du ebazteko helbidea kontuan hartuta eta edukia jasotzeko gertuen dagoen ostalaria eskaintzen du). Horrelako CDNetan erabiltzailearengandik gertuen dagoen ebatzailetik DNS kontsulta bat bidaltzeak erabiltzailearengandik hurbilen dagoen ostalariaren helbidea itzultzen du, baina ebatzaile zentralizatu batetik DNS kontsulta bat bidaltzeak DNS-over-HTTPS zerbitzaritik hurbilen dagoen ostalariaren helbidea itzuliko du. . Praktikan egindako probek frogatu zuten CDN bat erabiltzean DNS-over-HTTP erabiltzeak ia ez zuela atzerapenik ekarri edukien transferentzia hasi aurretik (konexio azkarretarako, atzerapenak ez ziren 10 milisegundotik gorakoak izan, eta are errendimendu azkarragoa ikusi zen komunikazio-kanal moteletan ). EDNS Bezeroaren azpisarearen luzapena erabiltzea ere kontuan hartu zen bezeroaren kokapenari buruzko informazioa CDN ebatzaileari emateko.
Gogora dezagun DoH hornitzaileen DNS zerbitzarien bidez eskatutako ostalari-izenei buruzko informazio-ihesak saihesteko baliagarria izan daitekeela, MITM erasoei eta DNS trafikoaren faltsioari aurre egiteko, DNS mailan blokeatzeari aurre egiteko edo lana antolatzeko. ezinezkoa da DNS zerbitzarietara zuzenean sartzea (adibidez, proxy baten bidez lan egiten denean). Egoera normal batean DNS eskaerak sistemaren konfigurazioan definitutako DNS zerbitzarietara zuzenean bidaltzen badira, DoH-ren kasuan, ostalariaren IP helbidea zehazteko eskaera HTTPS trafikoan kapsulatzen da eta HTTP zerbitzarira bidaltzen da, non konpontzaileak prozesatzen duen. eskaerak Web APIaren bidez. Lehendik dagoen DNSSEC estandarrak enkriptatzea erabiltzen du bezeroa eta zerbitzaria autentifikatzeko soilik, baina ez du trafikoa atzematetik babesten eta ez du eskaeren konfidentzialtasuna bermatzen.
About:config-en DoH gaitzeko, Firefox 60-tik onartzen den network.trr.mode aldagaiaren balioa aldatu behar duzu. 0 balio batek DoH erabat desgaitzen du; 1 - DNS edo DoH erabiltzen da, azkarragoa dena; 2 - DoH erabiltzen da lehenespenez, eta DNS ordezko aukera gisa erabiltzen da; 3 - DoH bakarrik erabiltzen da; 4 - DoH eta DNS paraleloki erabiltzen diren ispilu modua. Lehenespenez, CloudFlare DNS zerbitzaria erabiltzen da, baina network.trr.uri parametroaren bidez alda daiteke, adibidez, "https://dns.google.com/experimental" edo "https://9.9.9.9" ezar dezakezu. .XNUMX/dns-query "
Iturria: opennet.ru