Devlopè Firefox sou pèmèt DNS sou HTTPS (DoH, DNS sou HTTPS) mòd pa default pou itilizatè US yo. Se cryptage nan trafik DNS konsidere kòm yon faktè fondamantalman enpòtan nan pwoteje itilizatè yo. Apati jodi a, tout nouvo enstalasyon itilizatè ameriken yo pral gen DoH aktive pa default. Itilizatè Ameriken ki egziste deja yo pwograme pou yo chanje nan DoH nan kèk semèn. Nan Inyon Ewopeyen an ak lòt peyi yo, aktive DoH pa default pou kounye a .
Apre aktive DoH, yon avètisman parèt bay itilizatè a, ki pèmèt, si li vle, refize kontakte serveurs DNS DoH santralize epi retounen nan konplo tradisyonèl la pou voye demann ki pa chifre nan sèvè DNS founisè a. Olye de yon enfrastrikti distribiye nan rezolve DNS, DoH sèvi ak yon obligatwa nan yon sèvis DoH espesifik, ki ka konsidere kòm yon sèl pwen echèk. Kounye a, travay yo ofri atravè de founisè DNS - CloudFlare (default) ak .
Chanje founisè oswa enfim DoH nan anviwònman koneksyon rezo a. Pa egzanp, ou ka presize yon lòt sèvè DoH "https://dns.google/dns-query" pou jwenn aksè nan Google serveurs, "https://dns.quad9.net/dns-query" - Quad9 ak "https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config tou bay anviwònman an network.trr.mode, atravè ki ou ka chanje mòd nan fonksyone DoH: yon valè 0 konplètman enfim DoH; 1 - DNS oswa DoH yo itilize, kèlkeswa sa ki pi vit; 2 - DoH yo itilize pa default, epi yo itilize DNS kòm yon opsyon sere; 3 - se sèlman DoH yo itilize; 4 - mòd mirwar kote DoH ak dns yo itilize an paralèl.
Se pou nou sonje ke DoH ka itil pou anpeche fwit enfòmasyon sou non lame yo mande yo atravè sèvè DNS founisè yo, konbat atak MITM ak DNS trafik spoofing (pa egzanp, lè w konekte ak Wi-Fi piblik), kontrekare bloke nan DNS la. nivo (DoH pa ka ranplase yon vpn nan zòn nan kontourne bloke aplike nan nivo DPI) oswa pou òganize travay si li enposib aksè dirèkteman nan sèvè DNS (pa egzanp, lè w ap travay atravè yon prokurasyon). Si nan yon sitiyasyon nòmal demann DNS yo dirèkteman voye nan sèvè dns defini nan konfigirasyon sistèm lan, Lè sa a, nan ka a nan DoH, demann lan pou detèmine adrès IP lame a enkapsule nan trafik HTTPS epi voye bay sèvè HTTP a, kote rezolisyon an ap travay. demann atravè API Web la. Estanda DNSSEC ki deja egziste a sèvi ak chifreman sèlman pou otantifye kliyan an ak sèvè, men li pa pwoteje trafik kont entèsepsyon epi li pa garanti konfidansyalite demann yo.
Pou chwazi founisè DoH yo ofri nan Firefox, Resolver DNS ki fè konfyans, dapre ki operatè dns la ka itilize done yo resevwa pou rezolisyon sèlman pou asire operasyon an nan sèvis la, pa dwe estoke mòso bwa pou plis pase 24 èdtan, pa ka transfere done bay twazyèm pati epi li oblije divilge enfòmasyon sou. metòd tretman done. Sèvis la dwe dakò tou pou pa sansi, filtre, entèfere oswa bloke trafik DNS, eksepte nan sitiyasyon lalwa bay.
DoH ta dwe itilize ak prekosyon. Pou egzanp, nan Federasyon Larisi la, adrès IP 104.16.248.249 ak 104.16.249.249 ki asosye ak default DoH sèvè mozilla.cloudflare-dns.com yo ofri nan Firefox, в sou demann tribinal Stavropol ki te dat 10.06.2013 jen XNUMX.
DoH ka lakòz pwoblèm tou nan domèn tankou sistèm kontwòl paran, aksè nan espas non entèn nan sistèm antrepriz, seleksyon wout nan sistèm optimize livrezon kontni, ak konfòmite ak lòd tribinal nan domèn konbat distribisyon kontni ilegal ak eksplwatasyon an. minè. Pou kontourne pwoblèm sa yo, yo te aplike ak teste yon sistèm chèk ki otomatikman enfim DoH nan sèten kondisyon.
Pou idantifye rezolisyon antrepriz yo, yo tcheke domèn premye nivo atipik (TLD) epi rezolisyon sistèm lan retounen adrès intranet yo. Pou detèmine si kontwòl paran yo aktive, yo fè yon tantativ pou rezoud non exampleadultsite.com epi si rezilta a pa matche ak IP aktyèl la, yo konsidere ke blokaj kontni adilt yo aktif nan nivo DNS. Adrès IP Google ak YouTube yo tcheke tou kòm siy pou wè si yo te ranplase pa restrict.youtube.com, forcesafesearch.google.com ak restrictmoderate.youtube.com. Chèk sa yo pèmèt atakè ki kontwole operasyon rezolisyon an oswa ki kapab entèfere ak trafik pou simulation konpòtman sa yo pou enfim cryptage nan trafik DNS.
Travay nan yon sèl sèvis DoH kapab tou potansyèlman mennen nan pwoblèm ak optimize trafik nan rezo livrezon kontni ki balanse trafik lè l sèvi avèk DNS (sèvè DNS rezo CDN a jenere yon repons pran an kont adrès rezolisyon an epi li bay lame ki pi pre a pou resevwa kontni an). Voye yon demann DNS soti nan rezolisyon ki pi pre itilizatè a nan CDN sa yo rezilta nan retounen adrès lame a ki pi pre itilizatè a, men voye yon demann DNS soti nan yon rezolisyon santralize pral retounen adrès lame ki pi pre sèvè DNS-over-HTTPS la. . Tès nan pratik te montre ke itilizasyon DNS-sou-HTTP lè w ap itilize yon CDN te mennen nan nòmalman pa gen okenn reta anvan kòmansman transfè kontni (pou koneksyon vit, reta pa t 'depase 10 milisgond, e menm pi vit pèfòmans yo te obsève sou chanèl kominikasyon dousman. ). Itilizasyon ekstansyon Subnet Kliyan EDNS la te konsidere tou pou bay enfòmasyon sou kote kliyan yo bay rezolisyon CDN la.
Sous: opennet.ru