Firefox ծրագրավորողներ DNS-ի համար HTTPS-ով (DoH, DNS՝ HTTPS-ով) թեստավորման աջակցության ավարտի և սեպտեմբերի վերջին ԱՄՆ օգտատերերի համար այս տեխնոլոգիան լռելյայն միացնելու մտադրության մասին: Ակտիվացումը կիրականացվի աստիճանաբար, սկզբում օգտատերերի մի քանի տոկոսի համար, իսկ եթե խնդիրներ չլինեն՝ աստիճանաբար հասնելով 100%-ի։ Երբ ԱՄՆ-ը ծածկվի, ԴՀ-ն կքննարկվի այլ երկրներում ներառելու համար:
Ամբողջ տարվա ընթացքում իրականացված թեստերը ցույց են տվել ծառայության հուսալիությունն ու լավ կատարումը, ինչպես նաև հնարավորություն են տվել բացահայտել որոշ իրավիճակներ, որտեղ DoH-ը կարող է հանգեցնել խնդիրների և լուծումներ մշակել դրանք շրջանցելու համար (օրինակ՝ ապամոնտաժված բովանդակության առաքման ցանցերում, ծնողական հսկողությամբ և կորպորատիվ ներքին DNS գոտիներում տրաֆիկի օպտիմալացումով):
DNS տրաֆիկի գաղտնագրման կարևորությունը գնահատվում է որպես օգտատերերի պաշտպանության սկզբունքորեն կարևոր գործոն, ուստի որոշվեց լռելյայն միացնել DoH-ը, բայց առաջին փուլում միայն Միացյալ Նահանգներից օգտվողների համար: DoH-ն ակտիվացնելուց հետո օգտվողը կստանա նախազգուշացում, որը, ցանկության դեպքում, թույլ կտա հրաժարվել կենտրոնացված DoH DNS սերվերների հետ կապվելուց և վերադառնալ մատակարարի DNS սերվերին չգաղտնագրված հարցումներ ուղարկելու ավանդական սխեմային (DNS լուծիչների բաշխված ենթակառուցվածքի փոխարեն, DoH-ն օգտագործում է հատուկ DoH ծառայության հետ կապված կապ, որը կարելի է համարել ձախողման մեկ կետ):
Եթե DoH-ն ակտիվացված է, ծնողական հսկողության համակարգերը և կորպորատիվ ցանցերը, որոնք օգտագործում են միայն ներքին ցանցի համար նախատեսված DNS անվան կառուցվածքը, ներցանցի հասցեները և կորպորատիվ հոսթերը լուծելու համար կարող են խափանվել: Նման համակարգերի հետ կապված խնդիրները լուծելու համար ավելացվել է ստուգումների համակարգ, որն ավտոմատ կերպով անջատում է DoH-ը: Ստուգումները կատարվում են ամեն անգամ, երբ զննարկիչը գործարկվում է կամ երբ ենթացանցում փոփոխություն է հայտնաբերվում:
Օպերացիոն համակարգի ստանդարտ լուծիչի օգտագործման ավտոմատ վերադարձը տրամադրվում է նաև, եթե DoH-ի միջոցով լուծարման ժամանակ խափանումներ են տեղի ունենում (օրինակ, եթե DoH մատակարարի հետ ցանցի հասանելիությունը խաթարվում է կամ դրա ենթակառուցվածքում խափանումներ են տեղի ունենում): Նման ստուգումների իմաստը կասկածելի է, քանի որ ոչ ոք չի խանգարում հարձակվողներին, ովքեր վերահսկում են լուծիչի աշխատանքը կամ ի վիճակի են խանգարել երթևեկությանը, նմանակել նմանատիպ վարքագիծը՝ անջատել DNS տրաֆիկի կոդավորումը: Խնդիրը լուծվեց՝ կարգավորումներին ավելացնելով «DoH always» տարրը (լուռ ոչ ակտիվ), երբ սահմանված է, ավտոմատ անջատումը չի կիրառվում, ինչը ողջամիտ փոխզիջում է:
Ձեռնարկությունների լուծիչները հայտնաբերելու համար ստուգվում են առաջին մակարդակի ատիպիկ տիրույթները (TLD), և համակարգի լուծիչը վերադարձնում է ներցանցային հասցեները: Որոշելու համար, թե արդյոք ծնողական վերահսկողությունը միացված է, փորձ է արվում լուծել exampleadultsite.com անունը, և եթե արդյունքը չի համապատասխանում իրական IP-ին, ապա համարվում է, որ մեծահասակների համար նախատեսված բովանդակության արգելափակումն ակտիվ է DNS մակարդակում: Google-ի և YouTube-ի IP հասցեները նույնպես ստուգվում են որպես նշաններ՝ տեսնելու, թե արդյոք դրանք փոխարինվել են limited.youtube.com, forceafesearch.google.com և limitedmoderate.youtube.com-ով: Լրացուցիչ Mozilla իրականացնել մեկ թեստային հոսթ , որը ISP-ները և ծնողական վերահսկողության ծառայությունները կարող են օգտագործել որպես դրոշ՝ DoH-ն անջատելու համար (եթե հյուրընկալողը չի հայտնաբերվել, Firefox-ը անջատում է DoH-ը):
DoH մեկ ծառայության միջոցով աշխատելը կարող է նաև հանգեցնել բովանդակության առաքման ցանցերում տրաֆիկի օպտիմալացման հետ կապված խնդիրների, որոնք հավասարակշռում են երթևեկությունը DNS-ի միջոցով (CDN ցանցի DNS սերվերը առաջացնում է պատասխան՝ հաշվի առնելով լուծիչի հասցեն և տրամադրում է ամենամոտ հոսթին բովանդակությունը ստանալու համար): Նման CDN-ներում օգտագործողին ամենամոտ լուծիչից DNS հարցում ուղարկելը հանգեցնում է օգտատիրոջն ամենամոտ գտնվող հոսթի հասցեն, սակայն կենտրոնացված լուծիչից DNS հարցում ուղարկելը կվերադարձնի հոսթի հասցեն ամենամոտ DNS-over-HTTPS սերվերին: . Գործնականում թեստավորումը ցույց է տվել, որ CDN-ի օգտագործման ժամանակ DNS-over-HTTP-ի օգտագործումը գործնականում չի հանգեցրել բովանդակության փոխանցման մեկնարկի հետաձգման (արագ կապերի դեպքում ուշացումները չեն գերազանցել 10 միլիվայրկյանները, և նույնիսկ ավելի արագ կատարում է նկատվել դանդաղ կապի ուղիներում: ) Դիտարկվել է նաև EDNS Client Subnet ընդլայնման օգտագործումը` CDN լուծիչին հաճախորդի գտնվելու վայրի մասին տեղեկատվություն տրամադրելու համար:
Հիշենք, որ DoH-ը կարող է օգտակար լինել պրովայդերների DNS սերվերների միջոցով պահանջվող հոսթների անունների մասին տեղեկատվության արտահոսքը կանխելու, MITM հարձակումների և DNS տրաֆիկի կեղծման դեմ, DNS մակարդակում արգելափակմանը հակազդելու կամ աշխատանքի կազմակերպման համար, երբ այն անհնար է ուղղակիորեն մուտք գործել DNS սերվերներ (օրինակ, վստահված անձի միջոցով աշխատելիս): Եթե նորմալ իրավիճակում DNS հարցումներն ուղղակիորեն ուղարկվում են համակարգի կազմաձևում սահմանված DNS սերվերներին, ապա DoH-ի դեպքում հյուրընկալողի IP հասցեն որոշելու հարցումը կցվում է HTTPS տրաֆիկի մեջ և ուղարկվում է HTTP սերվեր, որտեղ լուծիչը մշակում է: հարցումներ վեբ API-ի միջոցով: Գոյություն ունեցող DNSSEC ստանդարտը օգտագործում է կոդավորումը միայն հաճախորդի և սերվերի նույնականացման համար, սակայն չի պաշտպանում երթևեկությունը գաղտնալսումից և չի երաշխավորում հարցումների գաղտնիությունը:
DoH-ը about:config-ում միացնելու համար դուք պետք է փոխեք network.trr.mode փոփոխականի արժեքը, որն աջակցվում է Firefox 60-ից: 0 արժեքը լիովին անջատում է DoH-ը; 1 - DNS կամ DoH օգտագործվում է, որն ավելի արագ է; 2 - DoH-ն օգտագործվում է լռելյայն, իսկ DNS-ն օգտագործվում է որպես հետադարձ տարբերակ; 3 - օգտագործվում է միայն DoH; 4 - հայելային ռեժիմ, որում DoH և DNS օգտագործվում են զուգահեռ: Լռելյայնորեն օգտագործվում է CloudFlare DNS սերվերը, սակայն այն կարող է փոխվել network.trr.uri պարամետրի միջոցով, օրինակ՝ կարող եք սահմանել «https://dns.google.com/experimental» կամ «https://9.9.9.9»: .XNUMX/dns-query "
Source: opennet.ru