Firefox forritarar um að virkja sjálfgefið DNS yfir HTTPS (DoH, DNS yfir HTTPS) ham fyrir bandaríska notendur. Dulkóðun DNS-umferðar er talin grundvallaratriði til að vernda notendur. Frá og með deginum í dag munu allar nýjar uppsetningar bandarískra notenda hafa DoH virkt sjálfgefið. Áætlað er að núverandi bandarískir notendur verði skipt yfir í DoH innan nokkurra vikna. Í Evrópusambandinu og öðrum löndum, virkjaðu DoH sjálfgefið í bili .
Eftir að DoH hefur verið virkjað birtist viðvörun til notanda, sem gerir, ef þess er óskað, að neita að hafa samband við miðlæga DoH DNS netþjóna og fara aftur í hefðbundið kerfi að senda ódulkóðaðar fyrirspurnir til DNS netþjóns veitunnar. Í stað dreifðs innviða DNS-leysara notar DoH bindingu við tiltekna DoH þjónustu, sem getur talist einn bilunarpunktur. Eins og er, er boðið upp á vinnu í gegnum tvær DNS veitendur - CloudFlare (sjálfgefið) og .
Skiptu um þjónustuaðila eða slökktu á DoH í stillingum nettengingar. Til dæmis geturðu tilgreint annan DoH netþjón „https://dns.google/dns-query“ til að fá aðgang að Google netþjónum, „https://dns.quad9.net/dns-query“ - Quad9 og „https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config veitir einnig network.trr.mode stillinguna, þar sem þú getur breytt DoH rekstrarhamnum: gildið 0 slekkur algjörlega á DoH; 1 - DNS eða DoH er notað, hvort sem er hraðast; 2 - DoH er sjálfgefið notað og DNS er notað sem varavalkostur; 3 - aðeins DoH er notað; 4 - speglunarstilling þar sem DoH og DNS eru notuð samhliða.
Við skulum muna að DoH getur verið gagnlegt til að koma í veg fyrir leka á upplýsingum um umbeðin hýsilnöfn í gegnum DNS netþjóna veitenda, berjast gegn MITM árásum og DNS umferðarskemmdum (til dæmis þegar tengst er við almennt Wi-Fi), vinna gegn lokun á DNS stigi (DoH getur ekki komið í stað VPN á sviði framhjá blokkun sem er innleidd á DPI stigi) eða til að skipuleggja vinnu ef það er ómögulegt að fá beinan aðgang að DNS netþjónum (til dæmis þegar unnið er í gegnum proxy). Ef við venjulegar aðstæður eru DNS beiðnir sendar beint á DNS netþjóna sem eru skilgreindir í kerfisstillingunni, þá í tilviki DoH, er beiðnin um að ákvarða IP tölu hýsilsins hjúpuð í HTTPS umferð og send á HTTP netþjóninn, þar sem lausnarinn vinnur beiðnir í gegnum vef API. Núverandi DNSSEC staðall notar dulkóðun eingöngu til að auðkenna biðlara og netþjón, en verndar ekki umferð fyrir hlerun og ábyrgist ekki trúnað um beiðnir.
Til að velja DoH veitendur sem boðið er upp á í Firefox, til traustra DNS-skilamanna, en samkvæmt þeim getur DNS-fyrirtækið notað gögnin sem berast til úrlausnar eingöngu til að tryggja rekstur þjónustunnar, má ekki geyma annála lengur en í 24 klukkustundir, getur ekki flutt gögn til þriðja aðila og er skylt að miðla upplýsingum um gagnavinnsluaðferðir. Þjónustan verður einnig að samþykkja að ritskoða ekki, sía, trufla eða loka fyrir DNS-umferð, nema við aðstæður sem kveðið er á um í lögum.
DoH ætti að nota með varúð. Til dæmis, í Rússlandi, IP tölur 104.16.248.249 og 104.16.249.249 sem tengjast sjálfgefna DoH netþjóninum mozilla.cloudflare-dns.com sem boðið er upp á í Firefox, в að beiðni Stavropol-dómstólsins frá 10.06.2013. júní XNUMX.
DoH getur einnig valdið vandamálum á sviðum eins og foreldraeftirlitskerfum, aðgangi að innri nafnasvæðum í fyrirtækjakerfum, leiðarvali í hagræðingarkerfum fyrir afhendingu efnis og að farið sé að dómsúrskurðum á sviði baráttu gegn dreifingu ólöglegs efnis og hagnýtingu á ólögráða. Til að sniðganga slík vandamál hefur eftirlitskerfi verið innleitt og prófað sem gerir DoH sjálfkrafa óvirkt við ákveðnar aðstæður.
Til að bera kennsl á fyrirtækisskilamenn eru óhefðbundin fyrsta stigs lén (TLDs) athugað og kerfisleysari skilar innra netföngum. Til að ákvarða hvort barnaeftirlit sé virkt er reynt að leysa nafnið exampleadultsite.com og ef niðurstaðan samsvarar ekki raunverulegu IP-talinu er talið að lokun á efni fyrir fullorðna sé virk á DNS-stigi. Google og YouTube IP tölur eru einnig athugaðar sem merki til að sjá hvort þeim hafi verið skipt út fyrir restrict.youtube.com, forcesafesearch.google.com og restrictmoderate.youtube.com. Þessar athuganir leyfa árásarmönnum sem stjórna rekstri lausnarans eða geta truflað umferð að líkja eftir slíkri hegðun til að slökkva á dulkóðun DNS umferðar.
Vinna í gegnum eina DoH-þjónustu getur einnig hugsanlega leitt til vandræða með umferðarhagræðingu í efnisafhendingarnetum sem koma jafnvægi á umferð með DNS (DNS-þjónn CDN-netsins býr til svar sem tekur mið af heimilisfangi lausnaraðila og veitir næsta hýsil til að taka á móti efnið). Að senda DNS fyrirspurn frá þeim sem er næst notandanum í slíkum CDN hefur í för með sér að skila heimilisfangi hýsilsins sem er næst notandanum, en að senda DNS fyrirspurn frá miðlægum lausnara mun skila hýsingarfanginu næst DNS-over-HTTPS þjóninum. . Prófanir sýndu í reynd að notkun DNS-yfir-HTTP þegar CDN var notað leiddi til nánast engra tafa áður en efnisflutningur hófst (fyrir hraðar tengingar fóru tafir ekki yfir 10 millisekúndur og enn hraðari árangur sást á hægum samskiptarásum ). Notkun EDNS Client Subnet viðbótarinnar var einnig talin veita CDN lausnaranum staðsetningarupplýsingar viðskiptavinar.
Heimild: opennet.ru