Firefox ծրագրավորողներ ԱՄՆ օգտատերերի համար լռելյայնորեն HTTPS-ով (DoH, DNS՝ HTTPS-ով) ռեժիմը միացնելու մասին: DNS տրաֆիկի կոդավորումը համարվում է օգտատերերի պաշտպանության հիմնարար կարևոր գործոն: Այսօրվանից ԱՄՆ օգտատերերի բոլոր նոր տեղադրումները լռելյայնորեն միացված կլինեն DoH-ին: Նախատեսվում է, որ ԱՄՆ-ի գործող օգտվողները մի քանի շաբաթվա ընթացքում կփոխանցվեն DoH-ին: Եվրամիությունում և այլ երկրներում առայժմ լռելյայն ակտիվացրեք DoH-ը .
DoH-ն ակտիվացնելուց հետո օգտվողին ցուցադրվում է նախազգուշացում, որը, ցանկության դեպքում, թույլ է տալիս հրաժարվել կենտրոնացված DoH DNS սերվերների հետ կապվելուց և վերադառնալ մատակարարի DNS սերվերին չգաղտնագրված հարցումներ ուղարկելու ավանդական սխեմային: DNS լուծիչների բաշխված ենթակառուցվածքի փոխարեն, DoH-ն օգտագործում է կապ որոշակի DoH ծառայության համար, որը կարելի է համարել ձախողման մեկ կետ: Ներկայումս աշխատանքն առաջարկվում է երկու DNS պրովայդերների միջոցով՝ CloudFlare (կանխադրված) և .
Փոխեք մատակարարին կամ անջատեք DoH-ը ցանցային կապի կարգավորումներում: Օրինակ, դուք կարող եք նշել այլընտրանքային DoH սերվեր «https://dns.google/dns-query»՝ Google-ի սերվերներ մուտք գործելու համար, «https://dns.quad9.net/dns-query» - Quad9 և «https:/»: /doh .opendns.com/dns-query" - OpenDNS: About:config-ը տրամադրում է նաև network.trr.mode կարգավորումը, որի միջոցով կարող եք փոխել DoH գործառնական ռեժիմը. 0 արժեքը լիովին անջատում է DoH-ը; 1 - DNS կամ DoH օգտագործվում է, որն ավելի արագ է; 2 - DoH-ն օգտագործվում է լռելյայն, իսկ DNS-ն օգտագործվում է որպես հետադարձ տարբերակ; 3 - օգտագործվում է միայն DoH; 4 - հայելային ռեժիմ, որում DoH և DNS օգտագործվում են զուգահեռ:
Հիշենք, որ DoH-ը կարող է օգտակար լինել պրովայդերների DNS սերվերների միջոցով պահանջվող հոսթների անունների մասին տեղեկատվության արտահոսքը կանխելու, MITM հարձակումների և DNS տրաֆիկի կեղծման դեմ (օրինակ՝ հանրային Wi-Fi-ին միանալիս), DNS-ում արգելափակմանը հակազդելու համար։ մակարդակը (DoH-ը չի կարող փոխարինել VPN-ին DPI մակարդակում իրականացվող արգելափակումը շրջանցելու տարածքում) կամ աշխատանքի կազմակերպման համար, եթե անհնար է ուղղակիորեն մուտք գործել DNS սերվերներ (օրինակ, վստահված անձի միջոցով աշխատելիս): Եթե նորմալ իրավիճակում DNS հարցումներն ուղղակիորեն ուղարկվում են համակարգի կազմաձևում սահմանված DNS սերվերներին, ապա DoH-ի դեպքում հյուրընկալողի IP հասցեն որոշելու հարցումը կցվում է HTTPS տրաֆիկի մեջ և ուղարկվում է HTTP սերվեր, որտեղ լուծիչը մշակում է: հարցումներ վեբ API-ի միջոցով: Գոյություն ունեցող DNSSEC ստանդարտը օգտագործում է կոդավորումը միայն հաճախորդի և սերվերի նույնականացման համար, սակայն չի պաշտպանում երթևեկությունը գաղտնալսումից և չի երաշխավորում հարցումների գաղտնիությունը:
Firefox-ում առաջարկվող DoH մատակարարներին ընտրելու համար, վստահելի DNS լուծողներին, որոնց համաձայն՝ DNS օպերատորը կարող է օգտագործել ստացված տվյալները միայն ծառայության շահագործումն ապահովելու համար, չպետք է պահի տեղեկամատյանները 24 ժամից ավելի, չի կարող տվյալներ փոխանցել երրորդ անձանց և պարտավոր է բացահայտել տեղեկատվությունը տվյալների մշակման մեթոդներ. Ծառայությունը պետք է նաև համաձայնի չգրաքննել, զտել, չխանգարել կամ արգելափակել DNS տրաֆիկը, բացառությամբ օրենքով նախատեսված դեպքերի:
DoH-ը պետք է օգտագործվի զգուշությամբ: Օրինակ՝ Ռուսաստանի Դաշնությունում 104.16.248.249 և 104.16.249.249 IP հասցեները կապված են Firefox-ում առաջարկվող mozilla.cloudflare-dns.com լռելյայն DoH սերվերի հետ, в Ստավրոպոլի դատարանի 10.06.2013թ.
DoH-ը կարող է նաև խնդիրներ առաջացնել այնպիսի ոլորտներում, ինչպիսիք են ծնողական հսկողության համակարգերը, կորպորատիվ համակարգերի ներքին անվանատարածքների հասանելիությունը, բովանդակության առաքման օպտիմալացման համակարգերում երթուղու ընտրությունը և դատական կարգադրություններին համապատասխանելը ապօրինի բովանդակության տարածման և շահագործման դեմ պայքարի ոլորտում: անչափահասներ. Նման խնդիրները շրջանցելու համար ներդրվել և փորձարկվել է ստուգման համակարգ, որը որոշակի պայմաններում ավտոմատ կերպով անջատում է DoH-ը:
Ձեռնարկությունների լուծիչները հայտնաբերելու համար ստուգվում են առաջին մակարդակի ատիպիկ տիրույթները (TLD), և համակարգի լուծիչը վերադարձնում է ներցանցային հասցեները: Որոշելու համար, թե արդյոք ծնողական վերահսկողությունը միացված է, փորձ է արվում լուծել exampleadultsite.com անունը, և եթե արդյունքը չի համապատասխանում իրական IP-ին, ապա համարվում է, որ մեծահասակների համար նախատեսված բովանդակության արգելափակումն ակտիվ է DNS մակարդակում: Google-ի և YouTube-ի IP հասցեները նույնպես ստուգվում են որպես նշաններ՝ տեսնելու, թե արդյոք դրանք փոխարինվել են limited.youtube.com, forceafesearch.google.com և limitedmoderate.youtube.com-ով: Այս ստուգումները թույլ են տալիս հարձակվողներին, ովքեր վերահսկում են լուծիչի աշխատանքը կամ ունակ են խանգարել երթևեկությանը, նմանակել նման վարքագիծը՝ անջատելու DNS տրաֆիկի կոդավորումը:
DoH մեկ ծառայության միջոցով աշխատելը կարող է նաև հանգեցնել բովանդակության առաքման ցանցերում տրաֆիկի օպտիմալացման հետ կապված խնդիրների, որոնք հավասարակշռում են երթևեկությունը DNS-ի միջոցով (CDN ցանցի DNS սերվերը առաջացնում է պատասխան՝ հաշվի առնելով լուծիչի հասցեն և տրամադրում է ամենամոտ հոսթին բովանդակությունը ստանալու համար): Նման CDN-ներում օգտագործողին ամենամոտ լուծիչից DNS հարցում ուղարկելը հանգեցնում է օգտատիրոջն ամենամոտ գտնվող հոսթի հասցեն, սակայն կենտրոնացված լուծիչից DNS հարցում ուղարկելը կվերադարձնի հոսթի հասցեն ամենամոտ DNS-over-HTTPS սերվերին: . Գործնականում թեստավորումը ցույց է տվել, որ CDN-ի օգտագործման ժամանակ DNS-over-HTTP-ի օգտագործումը գործնականում չի հանգեցրել բովանդակության փոխանցման մեկնարկի հետաձգման (արագ կապերի դեպքում ուշացումները չեն գերազանցել 10 միլիվայրկյանները, և նույնիսկ ավելի արագ կատարում է նկատվել դանդաղ կապի ուղիներում: ) Դիտարկվել է նաև EDNS Client Subnet ընդլայնման օգտագործումը` CDN լուծիչին հաճախորդի գտնվելու վայրի մասին տեղեկատվություն տրամադրելու համար:
Source: opennet.ru