Luchd-leasachaidh Firefox mu chrìochnachadh taic deuchainn airson DNS thairis air HTTPS (DoH, DNS thairis air HTTPS) agus an rùn an teicneòlas seo a chomasachadh gu bunaiteach do luchd-cleachdaidh na SA aig deireadh an t-Sultain. Thèid an gnìomhachd a dhèanamh mean air mhean, an toiseach airson beagan sa cheud de luchd-cleachdaidh, agus mura h-eil duilgheadasan ann, mean air mhean àrdachadh gu 100%. Aon uair ‘s gu bheil na SA còmhdaichte, thèid beachdachadh air DoH airson a thoirt a-steach do dhùthchannan eile.
Sheall deuchainnean a chaidh a dhèanamh tron bhliadhna earbsachd agus deagh choileanadh na seirbheis, agus rinn iad cuideachd comasach cuid de shuidheachaidhean a chomharrachadh far am faodadh DoH duilgheadasan adhbhrachadh agus fuasglaidhean a leasachadh gus faighinn timcheall orra (mar eisimpleir, disassembled. le optimization trafaic ann an lìonraidhean lìbhrigidh susbaint, smachdan phàrantan agus sònaichean DNS corporra a-staigh).
Tha cudromachd crioptachadh trafaic DNS air a mheasadh mar fheart bunaiteach cudromach ann a bhith a’ dìon luchd-cleachdaidh, agus mar sin chaidh co-dhùnadh comas a thoirt do DoH gu bunaiteach, ach aig a’ chiad ìre a-mhàin airson luchd-cleachdaidh às na Stàitean Aonaichte. Às deidh dha DoH a chuir an gnìomh, gheibh an neach-cleachdaidh rabhadh a leigeas, ma thogras tu, diùltadh fios a chuir gu frithealaichean meadhanaichte DoH DNS agus tilleadh chun sgeama thraidiseanta airson iarrtasan gun chrioptachadh a chuir gu frithealaiche DNS an t-solaraiche (an àite bun-structar sgaoilte de luchd-rèiteachaidh DNS, Bidh DoH a’ cleachdadh ceangal ri seirbheis DoH sònraichte , a dh’ fhaodar a mheas mar aon phuing fàiligeadh).
Ma tha DoH air a ghnìomhachadh, dh’ fhaodadh gun tèid dragh a chuir air siostaman smachd phàrantan agus lìonraidhean corporra a bhios a’ cleachdadh structar ainm DNS lìonra a-staigh a-mhàin gus seòlaidhean eadra-lìon agus luchd-aoigheachd corporra fhuasgladh. Gus fuasgladh fhaighinn air duilgheadasan le leithid de shiostaman, chaidh siostam de sgrùdaidhean a chuir ris a bhios gu fèin-ghluasadach a’ cuir à comas DoH. Bithear a’ dèanamh sgrùdaidhean gach uair a thèid am brabhsair a chuir air bhog no nuair a lorgar atharrachadh subnet.
Thathas cuideachd a’ toirt seachad tilleadh fèin-ghluasadach gu bhith a’ cleachdadh fuasgladh an t-siostaim obrachaidh àbhaisteach ma thachras fàilligidhean aig àm fuasglaidh tro DoH (mar eisimpleir, ma thèid dragh a chuir air ruigsinneachd lìonra leis an t-solaraiche DoH no ma thachras fàilligidhean sa bhun-structar aige). Tha e teagmhach mu bhrìgh sgrùdaidhean mar seo, leis nach eil duine a’ cur casg air luchd-ionnsaigh a bhios a’ cumail smachd air gnìomhachd an rèitiche no a tha comasach air bacadh a chuir air trafaic bho bhith a’ dèanamh atharrais air giùlan coltach ris gus casg a chuir air crioptachadh trafaic DNS. Chaidh an duilgheadas fhuasgladh le bhith a’ cur an rud “DoH an-còmhnaidh” ris na roghainnean (sàmhach neo-ghnìomhach), nuair a thèid a shuidheachadh, chan eil dùnadh fèin-ghluasadach air a chuir an sàs, rud a tha na cho-rèiteachadh reusanta.
Gus fuasgladh iomairteach a chomharrachadh, bithear a’ sgrùdadh raointean ciad-ìre neo-àbhaisteach (TLDs) agus bidh fuasgladh an t-siostaim a’ tilleadh seòlaidhean eadra-lìon. Gus faighinn a-mach a bheil smachdan phàrantan air an comasachadh, thathas a’ feuchainn ris an ainm exampleadultsite.com fhuasgladh agus mura h-eil an toradh a’ freagairt ris an fhìor IP, thathas den bheachd gu bheil bacadh susbaint inbheach gnìomhach aig ìre DNS. Thathas cuideachd a’ sgrùdadh sheòlaidhean IP Google agus YouTube mar shoidhnichean gus faicinn an deach srian.youtube.com, forceafesearch.google.com agus srianmoderate.youtube.com nan àite. Mozilla a bharrachd cuir an gnìomh aon neach-aoigheachd deuchainn , a dh'fhaodas ISPan agus seirbheisean smachd phàrantan a chleachdadh mar bhratach gus DoH a dhì-cheadachadh (mura lorgar an t-òstair, cuiridh Firefox an comas DoH).
Faodaidh obrachadh tro aon sheirbheis DoH cuideachd duilgheadasan adhbhrachadh le optimization trafaic ann an lìonraidhean lìbhrigidh susbaint a bhios a’ cothromachadh trafaic a ’cleachdadh DNS (bidh frithealaiche DNS lìonra CDN a’ gineadh freagairt a ’toirt aire don t-seòladh fuasglaidh agus a’ toirt seachad an aoigh as fhaisge airson an t-susbaint fhaighinn). Le bhith a’ cur ceist DNS bhon rèitiche as fhaisge air a’ chleachdaiche ann an leithid de CDNs thig seòladh an òstair as fhaisge air an neach-cleachdaidh air ais, ach ma chuireas tu ceist DNS bho rèiteach meadhanaichte tillidh e an seòladh aoigheachd as fhaisge air an fhrithealaiche DNS-over-HTTPS . Sheall deuchainnean ann an cleachdadh gun do dh’ adhbhraich cleachdadh DNS-over-HTTP nuair a bhathas a’ cleachdadh CDN cha mhòr dàil sam bith ro thoiseach gluasad susbaint (airson ceanglaichean luath, cha robh dàil nas àirde na 10 milliseconds, agus chaidh coileanadh eadhon nas luaithe fhaicinn air seanalan conaltraidh slaodach. ). Chaidh beachdachadh cuideachd air cleachdadh leudachadh EDNS Client Subnet gus fiosrachadh mu shuidheachadh teachdaiche a thoirt don neach-rèiteachaidh CDN.
Cuimhnich gum faod DoH a bhith feumail airson casg a chuir air aodion fiosrachaidh mu na h-ainmean aoigheachd a chaidh iarraidh tro na frithealaichean DNS de sholaraichean, cuir an-aghaidh ionnsaighean MITM agus spoofing trafaic DNS, cuir an-aghaidh bacadh aig ìre DNS, no airson obair a chuir air dòigh ma thachras sin. tha e do-dhèanta faighinn gu dìreach air frithealaichean DNS (mar eisimpleir, nuair a bhios tu ag obair tro neach-ionaid). Ma thèid iarrtasan DNS ann an suidheachadh àbhaisteach a chuir gu dìreach gu frithealaichean DNS a tha air am mìneachadh ann an rèiteachadh an t-siostaim, an uairsin a thaobh DoH, tha an t-iarrtas airson seòladh IP an aoigh a dhearbhadh air a chuairteachadh ann an trafaic HTTPS agus air a chuir chun t-seirbheisiche HTTP, far am bi am fuasgladh a’ pròiseasadh iarrtasan tron Web API. Bidh an inbhe DNSSEC a th’ ann mar-thà a’ cleachdadh crioptachadh a-mhàin gus an teachdaiche agus an frithealaiche a dhearbhadh, ach chan eil e a’ dìon trafaic bho eadar-theachd agus chan eil e a’ gealltainn dìomhaireachd iarrtasan.
Gus DoH a chomasachadh ann an about:config, feumaidh tu luach caochladair network.trr.mode atharrachadh, a fhuair taic bho Firefox 60. Tha luach 0 a' cur DoH à comas gu tur; 1 - Tha DNS no DoH air a chleachdadh, ge bith dè as luaithe; 2 - Tha DoH air a chleachdadh gu bunaiteach, agus tha DNS air a chleachdadh mar roghainn tuiteam air ais; 3 - chan eil ach DoH air a chleachdadh; 4 - modh sgàthan anns a bheil DoH agus DNS air an cleachdadh aig an aon àm. Gu gnàthach, thèid am frithealaiche DNS CloudFlare a chleachdadh, ach faodar atharrachadh tro pharamadair network.trr.uri, mar eisimpleir, faodaidh tu “https://dns.google.com/experimental” no “https://9.9.9.9 .XNUMX/dns- ceist"
Source: fosgailtenet.ru