Firefox-ûntwikkelders oer it ynskeakeljen fan DNS oer HTTPS (DoH, DNS oer HTTPS) modus standert foar Amerikaanske brûkers. Fersifering fan DNS-ferkear wurdt beskôge as in fûneminteel wichtige faktor yn it beskermjen fan brûkers. Fan hjoed ôf sille alle nije ynstallaasjes troch Amerikaanske brûkers DoH standert ynskeakele hawwe. Besteande Amerikaanske brûkers binne pland om binnen in pear wiken oer te skeakeljen nei DoH. Yn 'e Jeropeeske Uny en oare lannen, aktivearje DoH standert foar no .
Nei it aktivearjen fan DoH wurdt in warskôging oan 'e brûker werjûn, wêrtroch, as jo wolle, wegerje om kontakt te meitsjen mei sintrale DoH DNS-tsjinners en werom te gean nei it tradisjonele skema fan it ferstjoeren fan net-fersifere fragen nei de DNS-tsjinner fan 'e provider. Yn stee fan in ferspraat ynfrastruktuer fan DNS-resolvers, brûkt DoH in bining oan in spesifike DoH-tsjinst, dy't kin wurde beskôge as in inkeld punt fan mislearring. Op it stuit wurdt wurk oanbean fia twa DNS-oanbieders - CloudFlare (standert) en .
Feroarje provider of útskeakelje DoH yn de netwurkferbining ynstellings. Jo kinne bygelyks in alternative DoH-tsjinner "https://dns.google/dns-query" opjaan om tagong te krijen ta Google-tsjinners, "https://dns.quad9.net/dns-query" - Quad9 en "https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config jout ek de netwurk.trr.mode-ynstelling, wêrmei jo de DoH-bestjoeringsmodus feroarje kinne: in wearde fan 0 skeakelt DoH folslein út; 1 - DNS of DoH wurdt brûkt, wat flugger is; 2 - DoH wurdt standert brûkt, en DNS wurdt brûkt as in fallback-opsje; 3 - allinnich DoH wurdt brûkt; 4 - spegeljende modus wêryn DoH en DNS parallel wurde brûkt.
Lit ús ûnthâlde dat DoH nuttich kin wêze foar it foarkommen fan lekken fan ynformaasje oer de oanfrege hostnammen fia de DNS-tsjinners fan providers, it bestriden fan MITM-oanfallen en DNS-ferkearspoofing (bygelyks by it ferbinen mei iepenbiere Wi-Fi), it tsjingean fan blokkearjen by de DNS nivo (DoH kin gjin VPN ferfange op it mêd fan blokkearjen ymplementearre op DPI-nivo) of foar it organisearjen fan wurk as it ûnmooglik is om direkt tagong te krijen ta DNS-tsjinners (bygelyks as jo wurkje fia in proxy). As yn in normale situaasje DNS-oanfragen direkt stjoerd wurde nei DNS-tsjinners definieare yn 'e systeemkonfiguraasje, dan wurdt yn it gefal fan DoH it fersyk om it IP-adres fan' e host te bepalen ynkapsele yn HTTPS-ferkear en stjoerd nei de HTTP-tsjinner, wêr't de resolver ferwurket oanfragen fia de Web API. De besteande DNSSEC-standert brûkt allinich fersifering om de kliïnt en tsjinner te autentisearjen, mar beskermet gjin ferkear tsjin ûnderskepping en garandearret de fertroulikens fan fersiken net.
Om de DoH-oanbieders te selektearjen oanbean yn Firefox, oan betroubere DNS-resolvers, neffens dêr't de DNS-operator de gegevens ûntfongen kin brûke foar resolúsje allinich om de wurking fan 'e tsjinst te garandearjen, logs net mear dan 24 oeren opslaan, gegevens net kinne oerdrage oan tredden en is ferplichte om ynformaasje te iepenbierjen oer gegevens ferwurkjen metoaden. De tsjinst moat ek ynstimme om DNS-ferkear net te sensurearjen, te filterjen, te bemuoien of te blokkearjen, útsein yn situaasjes foarsjoen troch de wet.
DoH moat mei foarsichtigens brûkt wurde. Bygelyks, yn 'e Russyske Federaasje, IP-adressen 104.16.248.249 en 104.16.249.249 ferbûn mei de standert DoH-tsjinner mozilla.cloudflare-dns.com oanbean yn Firefox, в op fersyk fan de rjochtbank fan Stavropol fan 10.06.2013 juny XNUMX.
DoH kin ek problemen feroarsaakje yn gebieten lykas systemen foar âlderlike kontrôle, tagong ta ynterne nammeromten yn bedriuwssystemen, rûteseleksje yn optimisaasjesystemen foar ynhâldlevering, en neilibjen fan rjochtbankoarders op it mêd fan bestriding fan de distribúsje fan yllegale ynhâld en de eksploitaasje fan minderjierrigen. Om sokke problemen te omzeilen, is in kontrôlesysteem ymplementearre en hifke dat DoH automatysk útskeakele ûnder bepaalde betingsten.
Om ûndernimmingsresolvers te identifisearjen, wurde atypyske domeinen fan earste nivo (TLD's) kontrolearre en de systeemresolver jout intranetadressen werom. Om te bepalen oft âlderlike kontrôles ynskeakele binne, wurdt besocht om de namme exampleadultsite.com op te lossen en as it resultaat net oerienkomt mei de eigentlike IP, wurdt beskôge dat blokkearjen fan folwoeksen ynhâld aktyf is op it DNS-nivo. Google en YouTube IP-adressen wurde ek kontrolearre as tekens om te sjen oft se binne ferfongen troch restrict.youtube.com, forcesafesearch.google.com en restrictmoderate.youtube.com. Dizze kontrôles kinne oanfallers dy't de wurking fan 'e resolver kontrolearje of yn steat binne om ferkear te bemuoien om sa'n gedrach te simulearjen om fersifering fan DNS-ferkear út te skeakeljen.
Wurkje troch in inkele DoH-tsjinst kin ek potensjeel liede ta problemen mei ferkearsoptimalisaasje yn netwurken foar levering fan ynhâld dy't it ferkear balansearje mei DNS (de DNS-tsjinner fan it CDN-netwurk genereart in antwurd mei rekkening mei it resolveradres en leveret de tichtste host om de ynhâld te ûntfangen). It ferstjoeren fan in DNS-fraach fan de resolver it tichtst by de brûker yn sokke CDN's resultearret yn it werombringen fan it adres fan de host dy't it tichtst by de brûker is, mar it ferstjoeren fan in DNS-fraach fan in sintralisearre resolver sil it hostadres weromjaan dat it tichtst by de DNS-over-HTTPS-tsjinner is . Testen yn 'e praktyk lieten sjen dat it gebrûk fan DNS-over-HTTP by it brûken fan in CDN liedt ta praktysk gjin fertragingen foar it begjin fan' e oerdracht fan ynhâld (foar rappe ferbiningen wiene fertragingen net mear as 10 millisekonden, en noch rappere prestaasjes waarden waarnommen op trage kommunikaasjekanalen ). It gebrûk fan 'e EDNS Client Subnet-útwreiding waard ek beskôge om kliïntlokaasjeynformaasje te jaan oan' e CDN-resolver.
Boarne: opennet.ru