توسعه دهندگان فایرفاکس در مورد تکمیل آزمایش پشتیبانی از DNS از طریق HTTPS (DoH, DNS over HTTPS) و قصد فعال کردن این فناوری به طور پیش فرض برای کاربران ایالات متحده در پایان سپتامبر. فعال سازی به صورت تدریجی در ابتدا برای چند درصد از کاربران انجام می شود و در صورت عدم وجود مشکل به تدریج به 100 درصد افزایش می یابد. هنگامی که ایالات متحده تحت پوشش قرار گرفت، وزارت بهداشت برای گنجاندن در سایر کشورها در نظر گرفته خواهد شد.
آزمایشهای انجامشده در طول سال، قابلیت اطمینان و عملکرد خوب سرویس را نشان میدهد، و همچنین امکان شناسایی موقعیتهایی را که DoH میتواند منجر به مشکلات شود و راهحلهایی برای دور زدن آنها (به عنوان مثال، جدا کردن قطعات) ایجاد کند، میدهد. با بهینه سازی ترافیک در شبکه های تحویل محتوا، کنترل های والدین و مناطق DNS داخلی شرکت).
اهمیت رمزگذاری ترافیک DNS به عنوان یک عامل اساسی مهم در محافظت از کاربران ارزیابی می شود، بنابراین تصمیم گرفته شد که DoH به طور پیش فرض فعال شود، اما در مرحله اول فقط برای کاربران ایالات متحده. پس از فعالسازی DoH، کاربر هشداری دریافت میکند که در صورت تمایل، از تماس با سرورهای DNS متمرکز DoH امتناع میکند و به طرح سنتی ارسال درخواستهای رمزگذاری نشده به سرور DNS ارائهدهنده بازمیگردد (بهجای زیرساخت توزیعشده از حلکنندههای DNS، وزارت بهداشت از اتصال به یک سرویس خاص DoH استفاده می کند که می تواند یک نقطه شکست در نظر گرفته شود.
اگر DoH فعال شود، سیستمهای کنترل والدین و شبکههای شرکتی که از ساختار نام DNS فقط شبکه داخلی برای حلوفصل آدرسهای اینترانت و میزبانهای شرکتی استفاده میکنند، ممکن است مختل شوند. برای حل مشکلات چنین سیستم هایی، یک سیستم چک اضافه شده است که به طور خودکار DoH را غیرفعال می کند. هر بار که مرورگر راه اندازی می شود یا زمانی که تغییر زیرشبکه شناسایی می شود، بررسی ها انجام می شود.
بازگشت خودکار به استفاده از حلکننده سیستم عامل استاندارد نیز در صورت بروز خرابی در حین حلوفصل از طریق DoH (به عنوان مثال، اگر در دسترس بودن شبکه با ارائهدهنده DoH مختل شود یا خرابیهایی در زیرساخت آن رخ دهد) ارائه میشود. معنای چنین بررسیهایی مشکوک است، زیرا هیچ کس مانع از آن نمیشود که مهاجمانی که عملکرد حلکننده را کنترل میکنند یا میتوانند با ترافیک تداخل کنند، رفتار مشابهی را برای غیرفعال کردن رمزگذاری ترافیک DNS شبیهسازی کنند. این مشکل با افزودن مورد "DoH همیشه" به تنظیمات حل شد (بیصدا غیر فعال)، در صورت تنظیم، خاموش شدن خودکار اعمال نمیشود، که یک مصالحه منطقی است.
برای شناسایی حلکنندههای سازمانی، دامنههای سطح اول غیر معمول (TLD) بررسی میشوند و حلکننده سیستم آدرسهای اینترانت را برمیگرداند. برای تعیین اینکه آیا کنترلهای والدین فعال هستند، تلاش میشود تا نام exampleadultsite.com حل شود و اگر نتیجه با IP واقعی مطابقت نداشته باشد، در نظر گرفته میشود که مسدود کردن محتوای بزرگسالان در سطح DNS فعال است. آدرسهای IP Google و YouTube نیز بهعنوان نشانه بررسی میشوند تا ببینیم آیا با limited.youtube.com، forceafesearch.google.com و limitedmoderate.youtube.com جایگزین شدهاند یا خیر. موزیلا اضافی یک میزبان آزمایشی را پیاده سازی کنید ، که ISP ها و سرویس های کنترل والدین می توانند از آن به عنوان پرچم برای غیرفعال کردن DoH استفاده کنند (اگر میزبان شناسایی نشود، فایرفاکس DoH را غیرفعال می کند).
کار کردن از طریق یک سرویس DoH میتواند به طور بالقوه منجر به مشکلاتی در بهینهسازی ترافیک در شبکههای تحویل محتوا شود که ترافیک را با استفاده از DNS متعادل میکنند (سرور DNS شبکه CDN با در نظر گرفتن آدرس حلکننده پاسخی ایجاد میکند و نزدیکترین میزبان را برای دریافت محتوا فراهم میکند). ارسال یک پرس و جو DNS از نزدیکترین حل کننده به کاربر در چنین CDNهایی منجر به بازگرداندن آدرس نزدیکترین میزبان به کاربر می شود، اما ارسال یک جستجوی DNS از یک حل کننده متمرکز، آدرس میزبان نزدیکترین به سرور DNS-over-HTTPS را برمی گرداند. . آزمایش در عمل نشان داد که استفاده از DNS-over-HTTP در هنگام استفاده از CDN منجر به تقریباً هیچ تاخیری قبل از شروع انتقال محتوا شد (برای اتصالات سریع، تأخیر بیش از 10 میلی ثانیه نبود و حتی عملکرد سریعتری در کانالهای ارتباطی کند مشاهده شد. ). استفاده از پسوند EDNS Client Subnet نیز برای ارائه اطلاعات مکان کلاینت به حل کننده CDN در نظر گرفته شد.
به یاد بیاوریم که DoH می تواند برای جلوگیری از نشت اطلاعات در مورد نام میزبان درخواستی از طریق سرورهای DNS ارائه دهندگان، مبارزه با حملات MITM و جعل ترافیک DNS، مقابله با مسدود کردن در سطح DNS، یا برای سازماندهی کار مفید باشد. دسترسی مستقیم به سرورهای DNS غیرممکن است (به عنوان مثال، هنگام کار از طریق یک پروکسی). اگر در شرایط عادی درخواستهای DNS مستقیماً به سرورهای DNS تعریف شده در پیکربندی سیستم ارسال میشوند، در مورد DoH، درخواست تعیین آدرس IP میزبان در ترافیک HTTPS کپسوله میشود و به سرور HTTP ارسال میشود، جایی که حلکننده پردازش میکند. درخواست از طریق Web API. استاندارد موجود DNSSEC از رمزگذاری فقط برای احراز هویت مشتری و سرور استفاده می کند، اما از ترافیک در برابر رهگیری محافظت نمی کند و محرمانه بودن درخواست ها را تضمین نمی کند.
برای فعال کردن DoH در about:config، باید مقدار متغیر network.trr.mode را تغییر دهید، که از فایرفاکس 60 پشتیبانی می شود. مقدار 0 DoH را به طور کامل غیرفعال می کند. 1 - از DNS یا DoH استفاده می شود، هر کدام سریعتر باشد. 2 - DoH به طور پیش فرض استفاده می شود و DNS به عنوان یک گزینه بازگشتی استفاده می شود. 3 - فقط از DoH استفاده می شود. 4- حالت mirroring که در آن از DoH و DNS به صورت موازی استفاده می شود. به طور پیش فرض، از سرور CloudFlare DNS استفاده می شود، اما می توان آن را از طریق پارامتر network.trr.uri تغییر داد، به عنوان مثال، می توانید "https://dns.google.com/experimental" یا "https://9.9.9.9" را تنظیم کنید. .XNUMX/dns-query "
منبع: opennet.ru