Firefox-ûntwikkelders
Nei it aktivearjen fan DoH wurdt in warskôging oan 'e brûker werjûn, wêrtroch, as jo wolle, wegerje om kontakt te meitsjen mei sintrale DoH DNS-tsjinners en werom te gean nei it tradisjonele skema fan it ferstjoeren fan net-fersifere fragen nei de DNS-tsjinner fan 'e provider. Yn stee fan in ferspraat ynfrastruktuer fan DNS-resolvers, brûkt DoH in bining oan in spesifike DoH-tsjinst, dy't kin wurde beskôge as in inkeld punt fan mislearring. Op it stuit wurdt wurk oanbean fia twa DNS-oanbieders - CloudFlare (standert) en
Feroarje provider of útskeakelje DoH
Lit ús ûnthâlde dat DoH nuttich kin wêze foar it foarkommen fan lekken fan ynformaasje oer de oanfrege hostnammen fia de DNS-tsjinners fan providers, it bestriden fan MITM-oanfallen en DNS-ferkearspoofing (bygelyks by it ferbinen mei iepenbiere Wi-Fi), it tsjingean fan blokkearjen by de DNS nivo (DoH kin gjin VPN ferfange op it mêd fan blokkearjen ymplementearre op DPI-nivo) of foar it organisearjen fan wurk as it ûnmooglik is om direkt tagong te krijen ta DNS-tsjinners (bygelyks as jo wurkje fia in proxy). As yn in normale situaasje DNS-oanfragen direkt stjoerd wurde nei DNS-tsjinners definieare yn 'e systeemkonfiguraasje, dan wurdt yn it gefal fan DoH it fersyk om it IP-adres fan' e host te bepalen ynkapsele yn HTTPS-ferkear en stjoerd nei de HTTP-tsjinner, wêr't de resolver ferwurket oanfragen fia de Web API. De besteande DNSSEC-standert brûkt allinich fersifering om de kliïnt en tsjinner te autentisearjen, mar beskermet gjin ferkear tsjin ûnderskepping en garandearret de fertroulikens fan fersiken net.
Om de DoH-oanbieders te selektearjen oanbean yn Firefox,
DoH moat mei foarsichtigens brûkt wurde. Bygelyks, yn 'e Russyske Federaasje, IP-adressen 104.16.248.249 en 104.16.249.249 ferbûn mei de standert DoH-tsjinner mozilla.cloudflare-dns.com oanbean yn Firefox,
DoH kin ek problemen feroarsaakje yn gebieten lykas systemen foar âlderlike kontrôle, tagong ta ynterne nammeromten yn bedriuwssystemen, rûteseleksje yn optimisaasjesystemen foar ynhâldlevering, en neilibjen fan rjochtbankoarders op it mêd fan bestriding fan de distribúsje fan yllegale ynhâld en de eksploitaasje fan minderjierrigen. Om sokke problemen te omzeilen, is in kontrôlesysteem ymplementearre en hifke dat DoH automatysk útskeakele ûnder bepaalde betingsten.
Om ûndernimmingsresolvers te identifisearjen, wurde atypyske domeinen fan earste nivo (TLD's) kontrolearre en de systeemresolver jout intranetadressen werom. Om te bepalen oft âlderlike kontrôles ynskeakele binne, wurdt besocht om de namme exampleadultsite.com op te lossen en as it resultaat net oerienkomt mei de eigentlike IP, wurdt beskôge dat blokkearjen fan folwoeksen ynhâld aktyf is op it DNS-nivo. Google en YouTube IP-adressen wurde ek kontrolearre as tekens om te sjen oft se binne ferfongen troch restrict.youtube.com, forcesafesearch.google.com en restrictmoderate.youtube.com. Dizze kontrôles kinne oanfallers dy't de wurking fan 'e resolver kontrolearje of yn steat binne om ferkear te bemuoien om sa'n gedrach te simulearjen om fersifering fan DNS-ferkear út te skeakeljen.
Wurkje troch in inkele DoH-tsjinst kin ek potensjeel liede ta problemen mei ferkearsoptimalisaasje yn netwurken foar levering fan ynhâld dy't it ferkear balansearje mei DNS (de DNS-tsjinner fan it CDN-netwurk genereart in antwurd mei rekkening mei it resolveradres en leveret de tichtste host om de ynhâld te ûntfangen). It ferstjoeren fan in DNS-fraach fan de resolver it tichtst by de brûker yn sokke CDN's resultearret yn it werombringen fan it adres fan de host dy't it tichtst by de brûker is, mar it ferstjoeren fan in DNS-fraach fan in sintralisearre resolver sil it hostadres weromjaan dat it tichtst by de DNS-over-HTTPS-tsjinner is . Testen yn 'e praktyk lieten sjen dat it gebrûk fan DNS-over-HTTP by it brûken fan in CDN liedt ta praktysk gjin fertragingen foar it begjin fan' e oerdracht fan ynhâld (foar rappe ferbiningen wiene fertragingen net mear as 10 millisekonden, en noch rappere prestaasjes waarden waarnommen op trage kommunikaasjekanalen ). It gebrûk fan 'e EDNS Client Subnet-útwreiding waard ek beskôge om kliïntlokaasjeynformaasje te jaan oan' e CDN-resolver.
Boarne: opennet.ru