Devlopè Firefox sou fini nan sipò tès pou DNS sou HTTPS (DoH, DNS sou HTTPS) ak entansyon an yo pèmèt teknoloji sa a pa default pou itilizatè US nan fen mwa septanm nan. Aktivasyon an pral fèt progresivman, okòmansman pou yon kèk pousan nan itilizatè yo, epi si pa gen okenn pwoblèm, piti piti ogmante a 100%. Yon fwa ke US la kouvri, DoH yo pral konsidere pou enklizyon nan lòt peyi yo.
Tès yo te fèt pandan tout ane a te montre fyab ak bon pèfòmans sèvis la, epi tou li te pèmèt yo idantifye kèk sitiyasyon kote DoH ka mennen nan pwoblèm ak devlope solisyon pou kontourne yo (pa egzanp, demonte. ak optimize trafik nan rezo livrezon kontni, kontwòl paran ak zòn DNS entèn antrepriz).
Enpòtans ki genyen nan chifreman trafik DNS evalye kòm yon faktè fondamantalman enpòtan nan pwoteje itilizatè yo, kidonk li te deside pèmèt DoH pa default, men nan premye etap la sèlman pou itilizatè ki soti nan Etazini yo. Apre aktive DoH, itilizatè a pral resevwa yon avètisman ki pral pèmèt, si li vle, refize kontakte serveurs DNS DoH santralize epi retounen nan konplo tradisyonèl la pou voye demann ki pa chiffres bay sèvè DNS founisè a (olye pou yon enfrastrikti distribye rezolve DNS, DoH sèvi ak obligatwa nan yon sèvis espesifik DoH, ki ka konsidere kòm yon sèl pwen echèk).
Si DoH aktive, sistèm kontwòl paran yo ak rezo antrepriz ki sèvi ak estrikti non entèn rezo-sèlman DNS pou rezoud adrès intranet ak lame antrepriz yo ka deranje. Pou rezoud pwoblèm ak sistèm sa yo, yo te ajoute yon sistèm chèk ki otomatikman enfim DoH. Chèk yo fèt chak fwa navigatè a te lanse oswa lè yo detekte yon chanjman nan subnet.
Yo bay yon retounen otomatik pou sèvi ak rezolisyon sistèm operasyon estanda a tou si echèk rive pandan rezolisyon atravè DoH (pa egzanp, si disponiblite rezo a ak founisè DoH a deranje oswa echèk rive nan enfrastrikti li). Siyifikasyon an nan chèk sa yo se dout, paske pèsonn pa anpeche atakè ki kontwole operasyon an nan rezolisyon an oswa ki kapab entèfere ak trafik soti nan similye konpòtman menm jan an pou enfim chifreman nan trafik DNS. Pwoblèm lan te rezoud lè yo ajoute atik "DoH toujou" nan paramèt yo (an silans inaktif), lè yo mete, fèmen otomatik yo pa aplike, ki se yon konpwomi rezonab.
Pou idantifye rezolisyon antrepriz yo, yo tcheke domèn premye nivo atipik (TLDs) epi rezolisyon sistèm lan retounen adrès intranet yo. Pou detèmine si kontwòl paran yo aktive, yo fè yon tantativ pou rezoud non exampleadultsite.com epi si rezilta a pa matche ak IP aktyèl la, yo konsidere ke blokaj kontni adilt yo aktif nan nivo DNS. Adrès IP Google ak YouTube yo tcheke tou kòm siy pou wè si yo te ranplase pa restrict.youtube.com, forcesafesearch.google.com ak restrictmoderate.youtube.com. Lòt Mozilla aplike yon lame tès sèl , ki ISP ak sèvis kontwòl paran yo ka itilize kòm yon drapo pou enfim DoH (si lame a pa detekte, Firefox enfim DoH).
Travay nan yon sèl sèvis DoH kapab tou potansyèlman mennen nan pwoblèm ak optimize trafik nan rezo livrezon kontni ki balanse trafik lè l sèvi avèk DNS (sèvè DNS rezo CDN a jenere yon repons pran an kont adrès rezolisyon an epi li bay lame ki pi pre a pou resevwa kontni an). Voye yon demann DNS soti nan rezolisyon ki pi pre itilizatè a nan CDN sa yo rezilta nan retounen adrès lame a ki pi pre itilizatè a, men voye yon demann DNS soti nan yon rezolisyon santralize pral retounen adrès lame ki pi pre sèvè DNS-over-HTTPS la. . Tès nan pratik te montre ke itilizasyon DNS-sou-HTTP lè w ap itilize yon CDN te mennen nan nòmalman pa gen okenn reta anvan kòmansman transfè kontni (pou koneksyon vit, reta pa t 'depase 10 milisgond, e menm pi vit pèfòmans yo te obsève sou chanèl kominikasyon dousman. ). Itilizasyon ekstansyon Subnet Kliyan EDNS la te konsidere tou pou bay enfòmasyon sou kote kliyan yo bay rezolisyon CDN la.
Se pou nou sonje ke DoH ka itil pou anpeche fwit enfòmasyon sou non lame yo mande yo atravè sèvè DNS founisè yo, konbat atak MITM ak spoofing nan trafik DNS, kontrekare bloke nan nivo DNS, oswa pou òganize travay nan ka li. enposib pou jwenn aksè dirèkteman nan sèvè DNS (pa egzanp, lè w ap travay atravè yon proxy). Si nan yon sitiyasyon nòmal demann DNS yo dirèkteman voye nan sèvè dns defini nan konfigirasyon sistèm lan, Lè sa a, nan ka a nan DoH, demann lan pou detèmine adrès IP lame a enkapsule nan trafik HTTPS epi voye bay sèvè HTTP a, kote rezolisyon an ap travay. demann atravè API Web la. Estanda DNSSEC ki deja egziste a sèvi ak chifreman sèlman pou otantifye kliyan an ak sèvè, men li pa pwoteje trafik kont entèsepsyon epi li pa garanti konfidansyalite demann yo.
Pou pèmèt DoH nan about:config, ou dwe chanje valè varyab network.trr.mode, ki te sipòte depi Firefox 60. Yon valè 0 enfim DoH nèt; 1 - DNS oswa DoH yo itilize, kèlkeswa sa ki pi vit; 2 - DoH yo itilize pa default, epi yo itilize DNS kòm yon opsyon sere; 3 - se sèlman DoH yo itilize; 4 - mòd mirwar nan ki DoH ak DNS yo itilize nan paralèl. Pa default, yo itilize sèvè CloudFlare DNS, men li ka chanje atravè paramèt network.trr.uri, pou egzanp, ou ka mete "https://dns.google.com/experimental" oswa "https://9.9.9.9". .XNUMX/dns-query "
Sous: opennet.ru