Firefox-ûntwikkelders oer it foltôgjen fan teststipe foar DNS oer HTTPS (DoH, DNS oer HTTPS) en de bedoeling om dizze technology standert yn te skeakeljen foar Amerikaanske brûkers oan 'e ein fan septimber. De aktivearring sil stadichoan wurde útfierd, yn earste ynstânsje foar in pear prosint fan brûkers, en as d'r gjin problemen binne, stadichoan tanimmend nei 100%. Sadree't de FS is bedekt, sil DoH wurde beskôge foar opname yn oare lannen.
Tests útfierd it hiele jier troch lieten de betrouberens en goede prestaasjes fan 'e tsjinst sjen, en makken it ek mooglik om guon situaasjes te identifisearjen wêr't DoH kin liede ta problemen en oplossings ûntwikkelje om se te omzeilen (bygelyks demonteare mei ferkearsoptimalisaasje yn netwurken foar levering fan ynhâld, âlderlike kontrôles en ynterne DNS-sônes fan bedriuwen).
It belang fan it fersiferjen fan DNS-ferkear wurdt beoardiele as in fûneminteel wichtige faktor yn it beskermjen fan brûkers, dus waard besletten om DoH standert yn te skeakeljen, mar op it earste poadium allinich foar brûkers út 'e Feriene Steaten. Nei it aktivearjen fan DoH sil de brûker in warskôging krije dy't, as jo wolle, kinne wegerje kontakt te meitsjen mei sintrale DoH DNS-tsjinners en werom te gean nei it tradisjonele skema fan it ferstjoeren fan net-fersifere oanfragen nei de DNS-tsjinner fan 'e provider (ynstee fan in ferspraat ynfrastruktuer fan DNS-resolvers, DoH brûkt bining oan in spesifike DoH-tsjinst, dy't kin wurde beskôge as in inkeld punt fan mislearring).
As DoH is aktivearre, kinne âlderlike kontrôlesystemen en bedriuwsnetwurken dy't de ynterne netwurk-allinich DNS-nammestruktuer brûke om intranetadressen en bedriuwshosts op te lossen wurde fersteurd. Om problemen mei sokke systemen op te lossen, is in systeem fan kontrôles tafoege dat DoH automatysk útskeakele. Kontrôles wurde útfierd eltse kear as de browser wurdt lansearre of as in subnet feroaring wurdt ûntdutsen.
In automatyske weromreis nei it brûken fan de standert bestjoeringssysteem resolver wurdt ek levere as mislearrings foarkomme tidens resolúsje fia DoH (bygelyks, as netwurk beskikberens mei de DoH provider wurdt fersteurd of mislearrings foarkomme yn syn ynfrastruktuer). De betsjutting fan sokke kontrôles is twifelich, om't gjinien foarkomt dat oanfallers dy't de wurking fan 'e resolver kontrolearje of yn steat binne om ferkear te bemuoien fan it simulearjen fan ferlykber gedrach om fersifering fan DNS-ferkear út te skeakeljen. It probleem waard oplost troch it tafoegjen fan it item "DoH altyd" oan 'e ynstellings (stil ynaktyf), as ynsteld, wurdt automatyske ôfsluting net tapast, wat in ridlik kompromis is.
Om ûndernimmingsresolvers te identifisearjen, wurde atypyske domeinen fan earste nivo (TLD's) kontrolearre en de systeemresolver jout intranetadressen werom. Om te bepalen oft âlderlike kontrôles ynskeakele binne, wurdt besocht om de namme exampleadultsite.com op te lossen en as it resultaat net oerienkomt mei de eigentlike IP, wurdt beskôge dat blokkearjen fan folwoeksen ynhâld aktyf is op it DNS-nivo. Google en YouTube IP-adressen wurde ek kontrolearre as tekens om te sjen oft se binne ferfongen troch restrict.youtube.com, forcesafesearch.google.com en restrictmoderate.youtube.com. Oanfoljende Mozilla ymplemintearje in inkele testhost , dy't ISP's en tsjinsten foar âlderlike kontrôle brûke kinne as flagge om DoH út te skeakeljen (as de host net ûntdutsen wurdt, skeakelt Firefox DoH út).
Wurkje troch in inkele DoH-tsjinst kin ek potensjeel liede ta problemen mei ferkearsoptimalisaasje yn netwurken foar levering fan ynhâld dy't it ferkear balansearje mei DNS (de DNS-tsjinner fan it CDN-netwurk genereart in antwurd mei rekkening mei it resolveradres en leveret de tichtste host om de ynhâld te ûntfangen). It ferstjoeren fan in DNS-fraach fan de resolver it tichtst by de brûker yn sokke CDN's resultearret yn it werombringen fan it adres fan de host dy't it tichtst by de brûker is, mar it ferstjoeren fan in DNS-fraach fan in sintralisearre resolver sil it hostadres weromjaan dat it tichtst by de DNS-over-HTTPS-tsjinner is . Testen yn 'e praktyk lieten sjen dat it gebrûk fan DNS-over-HTTP by it brûken fan in CDN liedt ta praktysk gjin fertragingen foar it begjin fan' e oerdracht fan ynhâld (foar rappe ferbiningen wiene fertragingen net mear as 10 millisekonden, en noch rappere prestaasjes waarden waarnommen op trage kommunikaasjekanalen ). It gebrûk fan 'e EDNS Client Subnet-útwreiding waard ek beskôge om kliïntlokaasjeynformaasje te jaan oan' e CDN-resolver.
Lit ús ûnthâlde dat DoH nuttich kin wêze foar it foarkommen fan lekken fan ynformaasje oer de oanfrege hostnammen fia de DNS-tsjinners fan providers, it bestriden fan MITM-oanfallen en spoofing fan DNS-ferkear, it tsjingean fan blokkearjen op it DNS-nivo, of foar it organisearjen fan wurk yn it gefal dat it is ûnmooglik om direkt tagong te krijen ta DNS-tsjinners (bygelyks as jo wurkje fia in proxy). As yn in normale situaasje DNS-oanfragen direkt stjoerd wurde nei DNS-tsjinners definieare yn 'e systeemkonfiguraasje, dan wurdt yn it gefal fan DoH it fersyk om it IP-adres fan' e host te bepalen ynkapsele yn HTTPS-ferkear en stjoerd nei de HTTP-tsjinner, wêr't de resolver ferwurket oanfragen fia de Web API. De besteande DNSSEC-standert brûkt allinich fersifering om de kliïnt en tsjinner te autentisearjen, mar beskermet gjin ferkear tsjin ûnderskepping en garandearret de fertroulikens fan fersiken net.
Om DoH yn about:config yn te skeakeljen, moatte jo de wearde feroarje fan de network.trr.mode fariabele, dy't stipe wurdt sûnt Firefox 60. In wearde fan 0 skeakelt DoH folslein út; 1 - DNS of DoH wurdt brûkt, wat flugger is; 2 - DoH wurdt standert brûkt, en DNS wurdt brûkt as in fallback-opsje; 3 - allinnich DoH wurdt brûkt; 4 - spegeljende modus wêryn DoH en DNS parallel wurde brûkt. Standert wurdt de CloudFlare DNS-tsjinner brûkt, mar it kin wizige wurde fia de parameter network.trr.uri, bygelyks kinne jo "https://dns.google.com/experimental" of "https://9.9.9.9" ynstelle .XNUMX/dns-query "
Boarne: opennet.ru