توسعه دهندگان فایرفاکس در مورد فعال کردن حالت DNS از طریق HTTPS (DoH، DNS از طریق HTTPS) به طور پیش فرض برای کاربران ایالات متحده. رمزگذاری ترافیک DNS یک عامل اساسی در محافظت از کاربران در نظر گرفته می شود. از امروز، همه نصبهای جدید توسط کاربران ایالات متحده به طور پیشفرض DoH را فعال خواهند کرد. قرار است کاربران فعلی ایالات متحده ظرف چند هفته به وزارت بهداشت تغییر وضعیت دهند. در اتحادیه اروپا و سایر کشورها، فعلاً DoH را به طور پیش فرض فعال کنید .
پس از فعالسازی DoH، هشداری به کاربر نمایش داده میشود که در صورت تمایل، از تماس با سرورهای DNS متمرکز DoH امتناع میکند و به طرح سنتی ارسال درخواستهای رمزگذاری نشده به سرور DNS ارائهدهنده باز میگردد. به جای یک زیرساخت توزیعشده از حلکنندههای DNS، DoH از اتصال به یک سرویس DoH خاص استفاده میکند که میتواند یک نقطه شکست در نظر گرفته شود. در حال حاضر، کار از طریق دو ارائه دهنده DNS - CloudFlare (پیش فرض) و .
ارائه دهنده را تغییر دهید یا DoH را غیرفعال کنید در تنظیمات اتصال شبکه برای مثال، میتوانید یک سرور جایگزین DoH «https://dns.google/dns-query» برای دسترسی به سرورهای Google، «https://dns.quad9.net/dns-query» - Quad9 و «https:/» تعیین کنید. /doh .opendns.com/dns-query" - OpenDNS. About:config همچنین تنظیمات network.trr.mode را ارائه می دهد که از طریق آن می توانید حالت عملیات DoH را تغییر دهید: مقدار 0 DoH را کاملاً غیرفعال می کند. 1 - از DNS یا DoH استفاده می شود که هر کدام سریعتر باشد. 2 - DoH به طور پیش فرض استفاده می شود و DNS به عنوان یک گزینه بازگشتی استفاده می شود. 3 - فقط DoH استفاده می شود. 4- حالت mirroring که در آن از DoH و DNS به صورت موازی استفاده می شود.
بیایید به یاد بیاوریم که DoH می تواند برای جلوگیری از درز اطلاعات در مورد نام میزبان درخواستی از طریق سرورهای DNS ارائه دهندگان، مبارزه با حملات MITM و جعل ترافیک DNS (به عنوان مثال، هنگام اتصال به Wi-Fi عمومی)، مقابله با مسدود کردن در DNS مفید باشد. سطح (DoH نمی تواند VPN را در منطقه دور زدن مسدودسازی اجرا شده در سطح DPI جایگزین کند) یا برای سازماندهی کار اگر دسترسی مستقیم به سرورهای DNS غیرممکن باشد (به عنوان مثال هنگام کار از طریق یک پروکسی). اگر در شرایط عادی درخواستهای DNS مستقیماً به سرورهای DNS تعریف شده در پیکربندی سیستم ارسال میشوند، در مورد DoH، درخواست تعیین آدرس IP میزبان در ترافیک HTTPS کپسوله میشود و به سرور HTTP ارسال میشود، جایی که حلکننده پردازش میکند. درخواست از طریق Web API. استاندارد موجود DNSSEC از رمزگذاری فقط برای احراز هویت مشتری و سرور استفاده می کند، اما از ترافیک در برابر رهگیری محافظت نمی کند و محرمانه بودن درخواست ها را تضمین نمی کند.
برای انتخاب ارائه دهندگان DoH ارائه شده در فایرفاکس، به حلکنندههای DNS قابل اعتماد، که بر اساس آن اپراتور DNS میتواند از دادههای دریافتی برای تفکیک تنها برای اطمینان از عملکرد سرویس استفاده کند، نباید گزارشها را بیش از 24 ساعت ذخیره کند، نمیتواند دادهها را به اشخاص ثالث منتقل کند و موظف است اطلاعات مربوط به آن را افشا کند. روش های پردازش داده ها این سرویس همچنین باید موافقت کند که ترافیک DNS را سانسور، فیلتر، تداخل یا مسدود نکند، مگر در شرایطی که قانون پیش بینی کرده است.
DoH باید با احتیاط استفاده شود. به عنوان مثال، در فدراسیون روسیه، آدرس های IP 104.16.248.249 و 104.16.249.249 مرتبط با سرور پیش فرض DoH mozilla.cloudflare-dns.com ارائه شده در فایرفاکس، в به درخواست دادگاه استاوروپل در تاریخ 10.06.2013 ژوئن XNUMX.
وزارت بهداشت همچنین میتواند در زمینههایی مانند سیستمهای کنترل والدین، دسترسی به فضاهای نام داخلی در سیستمهای شرکتی، انتخاب مسیر در سیستمهای بهینهسازی ارائه محتوا، و پیروی از دستورات دادگاه در زمینه مبارزه با توزیع محتوای غیرقانونی و بهرهبرداری از خردسالان برای دور زدن چنین مشکلاتی، یک سیستم چک پیاده سازی و آزمایش شده است که به طور خودکار DoH را تحت شرایط خاصی غیرفعال می کند.
برای شناسایی حلکنندههای سازمانی، دامنههای سطح اول غیر معمول (TLD) بررسی میشوند و حلکننده سیستم آدرسهای اینترانت را برمیگرداند. برای تعیین اینکه آیا کنترلهای والدین فعال هستند، تلاش میشود تا نام exampleadultsite.com حل شود و اگر نتیجه با IP واقعی مطابقت نداشته باشد، در نظر گرفته میشود که مسدود کردن محتوای بزرگسالان در سطح DNS فعال است. آدرسهای IP Google و YouTube نیز بهعنوان نشانه بررسی میشوند تا ببینیم آیا با limited.youtube.com، forceafesearch.google.com و limitedmoderate.youtube.com جایگزین شدهاند یا خیر. این بررسیها به مهاجمانی که عملکرد حلکننده را کنترل میکنند یا میتوانند با ترافیک تداخل داشته باشند، این امکان را میدهد که چنین رفتاری را برای غیرفعال کردن رمزگذاری ترافیک DNS شبیهسازی کنند.
کار کردن از طریق یک سرویس DoH میتواند به طور بالقوه منجر به مشکلاتی در بهینهسازی ترافیک در شبکههای تحویل محتوا شود که ترافیک را با استفاده از DNS متعادل میکنند (سرور DNS شبکه CDN با در نظر گرفتن آدرس حلکننده پاسخی ایجاد میکند و نزدیکترین میزبان را برای دریافت محتوا فراهم میکند). ارسال یک پرس و جو DNS از نزدیکترین حل کننده به کاربر در چنین CDNهایی منجر به بازگرداندن آدرس نزدیکترین میزبان به کاربر می شود، اما ارسال یک جستجوی DNS از یک حل کننده متمرکز، آدرس میزبان نزدیکترین به سرور DNS-over-HTTPS را برمی گرداند. . آزمایش در عمل نشان داد که استفاده از DNS-over-HTTP در هنگام استفاده از CDN منجر به تقریباً هیچ تاخیری قبل از شروع انتقال محتوا شد (برای اتصالات سریع، تأخیر بیش از 10 میلی ثانیه نبود و حتی عملکرد سریعتری در کانالهای ارتباطی کند مشاهده شد. ). استفاده از پسوند EDNS Client Subnet نیز برای ارائه اطلاعات مکان کلاینت به حل کننده CDN در نظر گرفته شد.
منبع: opennet.ru