Forbróirí Firefox faoi chríochnú na tacaíochta tástála do DNS thar HTTPS (DoH, DNS thar HTTPS) agus an rún chun an teicneolaíocht seo a chumasú de réir réamhshocraithe d'úsáideoirí SAM ag deireadh mhí Mheán Fómhair. Déanfar an gníomhachtú go comhleanúnach, ar dtús ar feadh cúpla faoin gcéad d'úsáideoirí, agus mura bhfuil aon fhadhbanna ann, méadú de réir a chéile go 100%. Nuair a bheidh SAM clúdaithe, breithneofar an Roinn Sláinte le cur san áireamh i dtíortha eile.
Thaispeáin tástálacha a rinneadh i rith na bliana iontaofacht agus dea-fheidhmíocht na seirbhíse, agus bhíothas in ann cásanna áirithe a aithint ina bhféadfadh fadhbanna a bheith mar thoradh ar an RS agus réitigh a fhorbairt chun dul timpeall orthu (mar shampla, díchóimeáil). le barrfheabhsú tráchta i líonraí seachadta inneachair, rialuithe tuismitheoirí agus criosanna DNS inmheánacha corparáideacha).
Déantar measúnú ar an tábhacht a bhaineann le trácht DNS a chriptiú mar fhachtóir bunúsach tábhachtach chun úsáideoirí a chosaint, agus mar sin socraíodh DoH a chumasú de réir réamhshocraithe, ach ag an gcéad chéim amháin d'úsáideoirí ó na Stáit Aontaithe. Tar éis an DoH a ghníomhachtú, gheobhaidh an t-úsáideoir rabhadh a cheadóidh, más mian leis, diúltú teagmháil a dhéanamh le freastalaithe DNS láraithe an DoH agus filleadh ar an scéim thraidisiúnta chun iarratais neamhchriptithe a sheoladh chuig freastalaí DNS an tsoláthraí (in ionad bonneagar dáilte réitigh DNS, Úsáideann an Roinn Sláinte ceangailteach le seirbhís ar leith de chuid na Roinne Sláinte , ar féidir a mheas mar phointe teipe amháin).
Má chuirtear an Roinn i ngníomh, d’fhéadfadh go gcuirfí isteach ar chórais rialaithe tuismitheoirí agus ar líonraí corparáideacha a úsáideann an struchtúr ainmneacha DNS líonra-amháin chun seoltaí inlín agus óstaigh corparáideacha a réiteach. Chun fadhbanna le córais den sórt sin a réiteach, cuireadh córas seiceála leis a dhíchumasaíonn an Roinn Sláinte go huathoibríoch. Déantar seiceálacha gach uair a sheoltar an brabhsálaí nó nuair a aimsítear athrú folíon.
Soláthraítear freisin tuairisceán uathoibríoch ar úsáid an réitigh córais oibriúcháin chaighdeánaigh má tharlaíonn teipeanna le linn réitigh tríd an Roinn Sláinte (mar shampla, má chuirtear isteach ar infhaighteacht líonra leis an soláthraí RS nó má tharlaíonn teipeanna ina bhonneagar). Tá an bhrí atá le seiceálacha den sórt sin amhrasach, ós rud é nach gcuireann aon duine cosc ar ionsaitheoirí a rialaíonn oibriú an réititheora nó atá in ann cur isteach ar thrácht ó iompar comhchosúil a insamhladh chun criptiú tráchta DNS a dhíchumasú. Réitíodh an fhadhb tríd an mír “DoH i gcónaí” a chur leis na socruithe (go ciúin neamhghníomhach), nuair atá sé socraithe, ní chuirtear múchadh uathoibríoch i bhfeidhm, ar comhréiteach réasúnta é sin.
Chun réititheoirí fiontair a shainaithint, déantar fearainn aitíopúla den chéad leibhéal (TLDanna) a sheiceáil agus seolann réiteoir an chórais seoltaí inlín. Chun a chinneadh an bhfuil rialuithe tuismitheoirí cumasaithe, déantar iarracht an t-ainm exampleadultsite.com a réiteach agus mura n-oireann an toradh leis an IP iarbhír, meastar go bhfuil blocáil ábhar do dhaoine fásta gníomhach ag leibhéal DNS. Seiceáiltear seoltaí IP Google agus YouTube mar chomharthaí freisin féachaint an bhfuil srian.youtube.com, forceafesearch.google.com agus Srinmoderate.youtube.com curtha ina n-ionad. Mozilla breiseán óstach tástála amháin a chur i bhfeidhm , ar féidir le ISPanna agus seirbhísí rialaithe tuismitheoirí a úsáid mar bhratach chun DoH a dhíchumasú (mura n-aimsítear an t-óstach, díchumasaíonn Firefox DoH).
D’fhéadfadh fadhbanna le leas iomlán a bhaint tráchta a bheith mar thoradh ar oibriú trí sheirbhís amháin DoH freisin i líonraí seachadta inneachair a chothromaíonn trácht ag baint úsáide as DNS (gineann freastalaí DNS an líonra CDN freagra ag cur an seoladh réititheora san áireamh agus soláthraíonn sé an t-óstach is gaire don ábhar a fháil). Má sheoltar fiosrú DNS ón réititheoir is gaire don úsáideoir ina leithéid de CDNs cuirfear ar ais seoladh an óstaigh is gaire don úsáideoir, ach má sheoltar ceist DNS ó réititheoir láraithe seolfar an seoladh ósta is gaire don fhreastalaí DNS-thar-HTTPS ar ais . Léiríodh i dtástálacha go praiticiúil nach raibh mórán moille ar bith roimh thús an aistrithe ábhair mar gheall ar úsáid DNS-over-HTTP agus CDN á úsáid (le haghaidh naisc thapa, níor sháraigh moilleanna 10 milleasoicind, agus breathnaíodh feidhmíocht níos tapúla fós ar bhealaí cumarsáide mall. ). Breathnaíodh freisin ar úsáid an tsíneadh Folíon Cliant EDNS chun faisnéis faoi shuíomh an chliaint a sholáthar don réititheoir CDN.
Lig dúinn a mheabhrú gur féidir leis an DoH a bheith úsáideach chun sceitheadh faisnéise faoi na hainmneacha óstacha a iarrtar a chosc trí fhreastalaithe DNS soláthraithe, chun ionsaithe MITM a chomhrac agus trácht DNS a spoofing, chun bac a chur ar bhlocáil ag leibhéal DNS, nó chun obair a eagrú sa chás go ndéantar é. dodhéanta rochtain dhíreach a fháil ar fhreastalaithe DNS (mar shampla, agus tú ag obair trí sheachvótálaí). Más rud é i ngnáth-staid seoltar iarratais DNS go díreach chuig freastalaithe DNS atá sainmhínithe i gcumraíocht an chórais, ansin i gcás DoH, tá an t-iarratas chun seoladh IP an óstaigh a chinneadh cuimsithe i dtrácht HTTPS agus seolta chuig an bhfreastalaí HTTP, áit a bpróiseálann an réititheoir. iarratais tríd an Web API. Ní úsáideann an caighdeán DNSSEC atá ann faoi láthair criptiú ach chun an cliant agus an freastalaí a fhíordheimhniú, ach ní chosnaíonn sé trácht ó thascradh agus ní ráthaíonn sé rúndacht na n-iarratas.
Chun DoH a chumasú i about:config, ní mór duit luach na hathróige network.trr.mode a athrú, ar tacaíodh léi ó Firefox 60. Díchumasaíonn luach 0 DoH go hiomlán; 1 - úsáidtear DNS nó DoH, cibé acu is tapúla; 2 - Úsáidtear DoH de réir réamhshocraithe, agus úsáidtear DNS mar rogha chúltaca; 3 - ní úsáidtear ach DoH; 4 - modh scáthánaithe ina n-úsáidtear DoH agus DNS i gcomhthreo. De réir réamhshocraithe, úsáidtear freastalaí DNS CloudFlare, ach is féidir é a athrú tríd an bparaiméadar network.trr.uri, mar shampla, is féidir leat “https://dns.google.com/experimental” nó “https://9.9.9.9 .XNUMX/dns-query"
Foinse: oscailtenet.ru