Luchd-leasachaidh Firefox mu bhith a’ comasachadh DNS thairis air modh HTTPS (DoH, DNS thairis air HTTPS) gu bunaiteach airson luchd-cleachdaidh na SA. Thathas den bheachd gu bheil crioptachadh trafaic DNS na fheart bunaiteach cudromach ann a bhith a’ dìon luchd-cleachdaidh. A’ tòiseachadh an-diugh, bidh DoH air a chomasachadh gu bunaiteach a h-uile ionad ùr le luchd-cleachdaidh na SA. Thathas an dùil gum bi luchd-cleachdaidh gnàthach na SA air an atharrachadh gu DoH taobh a-staigh beagan sheachdainean. Anns an Aonadh Eòrpach agus dùthchannan eile, cuir an gnìomh DoH gu bunaiteach airson a-nis .
Às deidh an DoH a chuir an gnìomh, thèid rabhadh a thaisbeanadh don neach-cleachdaidh, a leigeas, ma thogras tu, diùltadh fios a chuir gu frithealaichean meadhanaichte DoH DNS agus tilleadh chun sgeama thraidiseanta airson fiosan gun chrioptachadh a chuir gu frithealaiche DNS an t-solaraiche. An àite bun-structair sgaoilte de luchd-rèiteachaidh DNS, bidh DoH a’ cleachdadh ceangal ri seirbheis DoH sònraichte, a dh’ fhaodar a mheas mar aon phuing fàiligeadh. An-dràsta, tha obair ga thabhann tro dhà sholaraiche DNS - CloudFlare (bunaiteach) agus .
Atharraich solaraiche no cuir à comas DoH ann an roghainnean ceangail lìonra. Mar eisimpleir, faodaidh tu frithealaiche DoH eile a shònrachadh “https://dns.google/dns-query” gus faighinn gu frithealaichean Google, “https://dns.quad9.net/dns-query” - Quad9 agus “https:/ /doh .opendns.com/dns-query" - OpenDNS. Mu dheidhinn: tha config cuideachd a 'toirt seachad suidheachadh network.trr.mode, tron urrainn dhut am modh obrachaidh DoH atharrachadh: tha luach 0 a' cur à comas DoH gu tur; 1 - Tha DNS no DoH air a chleachdadh, ge bith dè as luaithe; 2 - Tha DoH air a chleachdadh gu bunaiteach, agus tha DNS air a chleachdadh mar roghainn tuiteam air ais; 3 - chan eil ach DoH air a chleachdadh; 4 - modh sgàthan anns a bheil DoH agus DNS air an cleachdadh aig an aon àm.
Cuimhnich gum faod DoH a bhith feumail airson casg a chuir air aodion fiosrachaidh mu na h-ainmean aoigheachd a chaidh iarraidh tro na frithealaichean DNS de sholaraichean, cuir an-aghaidh ionnsaighean MITM agus spoofing trafaic DNS (mar eisimpleir, nuair a bhios tu a ’ceangal ri Wi-Fi poblach), a’ cur an aghaidh bacadh aig an DNS ìre (chan urrainn do DoH VPN a chuir an àite anns an raon bacadh seach-rathad air a chuir an gnìomh aig ìre DPI) no airson obair a chuir air dòigh ma tha e do-dhèanta faighinn gu dìreach air frithealaichean DNS (mar eisimpleir, nuair a bhios tu ag obair tro neach-ionaid). Ma thèid iarrtasan DNS ann an suidheachadh àbhaisteach a chuir gu dìreach gu frithealaichean DNS a tha air am mìneachadh ann an rèiteachadh an t-siostaim, an uairsin a thaobh DoH, tha an t-iarrtas airson seòladh IP an aoigh a dhearbhadh air a chuairteachadh ann an trafaic HTTPS agus air a chuir chun t-seirbheisiche HTTP, far am bi am fuasgladh a’ pròiseasadh iarrtasan tron Web API. Bidh an inbhe DNSSEC a th’ ann mar-thà a’ cleachdadh crioptachadh a-mhàin gus an teachdaiche agus an frithealaiche a dhearbhadh, ach chan eil e a’ dìon trafaic bho eadar-theachd agus chan eil e a’ gealltainn dìomhaireachd iarrtasan.
Gus na solaraichean DoH a thairgsinn ann am Firefox a thaghadh, gu luchd-rèiteachaidh DNS earbsach, a rèir an urrainn don ghnìomhaiche DNS an dàta a fhuaireadh a chleachdadh airson fuasgladh a-mhàin gus dèanamh cinnteach à obrachadh na seirbheis, chan fhaod iad logaichean a stòradh airson barrachd air 24 uairean, chan urrainn dhaibh dàta a ghluasad gu treas phàrtaidhean agus feumaidh e fiosrachadh mu dheidhinn fhoillseachadh dòighean giollachd dàta. Feumaidh an t-seirbheis cuideachd aontachadh gun a bhith a’ caisgireachd, a’ sìoladh, a’ cur bacadh air no a’ bacadh trafaic DNS, ach a-mhàin ann an suidheachaidhean a tha air an solarachadh fon lagh.
Bu chòir DoH a chleachdadh gu faiceallach. Mar eisimpleir, ann an Caidreachas na Ruis, tha seòlaidhean IP 104.16.248.249 agus 104.16.249.249 co-cheangailte ris an fhrithealaiche àbhaisteach DoH mozilla.cloudflare-dns.com air a thabhann ann am Firefox, в air iarrtas cùirt Stavropol leis an deit 10.06.2013.
Faodaidh DoH cuideachd duilgheadasan adhbhrachadh ann an raointean leithid siostaman smachd phàrantan, ruigsinneachd gu àiteachan ainmean taobh a-staigh ann an siostaman corporra, taghadh slighe ann an siostaman optimization lìbhrigidh susbaint, agus gèilleadh ri òrdughan cùirte anns an raon de bhith a’ cuir an-aghaidh sgaoileadh susbaint mì-laghail agus brath air. òigridh. Gus faighinn seachad air na duilgheadasan sin, chaidh siostam sgrùdaidh a chuir an gnìomh agus a dhearbhadh a tha gu fèin-ghluasadach a’ cuir à comas DoH fo chumhachan sònraichte.
Gus fuasgladh iomairteach a chomharrachadh, bithear a’ sgrùdadh raointean ciad-ìre neo-àbhaisteach (TLDs) agus bidh fuasgladh an t-siostaim a’ tilleadh seòlaidhean eadra-lìon. Gus faighinn a-mach a bheil smachdan phàrantan air an comasachadh, thathas a’ feuchainn ris an ainm exampleadultsite.com fhuasgladh agus mura h-eil an toradh a’ freagairt ris an fhìor IP, thathas den bheachd gu bheil bacadh susbaint inbheach gnìomhach aig ìre DNS. Thathas cuideachd a’ sgrùdadh sheòlaidhean IP Google agus YouTube mar shoidhnichean gus faicinn an deach srian.youtube.com, forceafesearch.google.com agus srianmoderate.youtube.com nan àite. Tha na sgrùdaidhean sin a 'toirt cothrom do luchd-ionnsaigh a tha a' cumail smachd air obrachadh an rèitiche no a tha comasach air bacadh a chur air trafaig a bhith a 'samhlachadh a leithid de ghiùlan gus casg a chur air crioptachadh trafaig DNS.
Faodaidh obrachadh tro aon sheirbheis DoH cuideachd duilgheadasan adhbhrachadh le optimization trafaic ann an lìonraidhean lìbhrigidh susbaint a bhios a’ cothromachadh trafaic a ’cleachdadh DNS (bidh frithealaiche DNS lìonra CDN a’ gineadh freagairt a ’toirt aire don t-seòladh fuasglaidh agus a’ toirt seachad an aoigh as fhaisge airson an t-susbaint fhaighinn). Le bhith a’ cur ceist DNS bhon rèitiche as fhaisge air a’ chleachdaiche ann an leithid de CDNs thig seòladh an òstair as fhaisge air an neach-cleachdaidh air ais, ach ma chuireas tu ceist DNS bho rèiteach meadhanaichte tillidh e an seòladh aoigheachd as fhaisge air an fhrithealaiche DNS-over-HTTPS . Sheall deuchainnean ann an cleachdadh gun do dh’ adhbhraich cleachdadh DNS-over-HTTP nuair a bhathas a’ cleachdadh CDN cha mhòr dàil sam bith ro thoiseach gluasad susbaint (airson ceanglaichean luath, cha robh dàil nas àirde na 10 milliseconds, agus chaidh coileanadh eadhon nas luaithe fhaicinn air seanalan conaltraidh slaodach. ). Chaidh beachdachadh cuideachd air cleachdadh leudachadh EDNS Client Subnet gus fiosrachadh mu shuidheachadh teachdaiche a thoirt don neach-rèiteachaidh CDN.
Source: fosgailtenet.ru