Firefox forritarar um lok prófunarstuðnings fyrir DNS yfir HTTPS (DoH, DNS yfir HTTPS) og ætlunin að gera þessa tækni sjálfgefið kleift fyrir bandaríska notendur í lok september. Virkjunin mun fara fram smám saman, í upphafi fyrir nokkur prósent notenda, og ef engin vandamál koma upp smám saman upp í 100%. Þegar Bandaríkin hafa fallið undir, mun DoH koma til greina fyrir skráningu í öðrum löndum.
Próf sem gerðar voru allt árið sýndu áreiðanleika og góða frammistöðu þjónustunnar og gerðu það einnig mögulegt að bera kennsl á aðstæður þar sem DoH getur leitt til vandamála og þróað lausnir til að sniðganga þau (til dæmis sundur með hagræðingu umferðar í efnisafhendingarnetum, foreldraeftirliti og innri DNS-svæðum fyrirtækja).
Mikilvægi dulkóðunar DNS umferðar er metið sem grundvallaratriði til að vernda notendur og því var ákveðið að virkja DoH sjálfgefið, en á fyrsta stigi aðeins fyrir notendur frá Bandaríkjunum. Eftir að DoH hefur verið virkjað mun notandinn fá viðvörun sem gerir, ef þess er óskað, að neita að hafa samband við miðlæga DoH DNS netþjóna og fara aftur í hefðbundið kerfi að senda ódulkóðaðar beiðnir til DNS netþjóns þjónustuveitunnar (í stað þess að dreifa innviði DNS lausna, DoH notar bindingu við tiltekna DoH þjónustu, sem getur talist einn bilunarpunktur).
Ef DoH er virkjað, gætu foreldraeftirlitskerfi og fyrirtækjanet sem nota innra netkerfi DNS nafnaskipulagsins til að leysa innra netföng og fyrirtækjahýsingar orðið fyrir truflunum. Til að leysa vandamál með slík kerfi hefur eftirlitskerfi verið bætt við sem gerir DoH sjálfkrafa óvirkt. Athuganir eru framkvæmdar í hvert sinn sem vafrinn er ræstur eða þegar breyting á undirneti greinist.
Sjálfvirkt aftur til að nota staðlaða stýrikerfislausnarann er einnig veitt ef bilanir eiga sér stað við úrlausn í gegnum DoH (til dæmis ef netaðgengi hjá DoH þjónustuveitunni er truflað eða bilanir eiga sér stað í innviðum þess). Merking slíkra athugana er vafasöm þar sem enginn kemur í veg fyrir að árásarmenn sem stjórna rekstri lausnarans eða geta truflað umferð líki eftir svipaðri hegðun til að slökkva á dulkóðun DNS umferðar. Vandamálið var leyst með því að bæta „DoH alltaf“ hlutnum við stillingarnar (hljóðlaust óvirkt), þegar það er stillt er sjálfvirk lokun ekki beitt, sem er hæfileg málamiðlun.
Til að bera kennsl á fyrirtækisskilamenn eru óhefðbundin fyrsta stigs lén (TLDs) athugað og kerfisleysari skilar innra netföngum. Til að ákvarða hvort barnaeftirlit sé virkt er reynt að leysa nafnið exampleadultsite.com og ef niðurstaðan passar ekki við raunverulegt IP-tal er talið að lokun á efni fyrir fullorðna sé virk á DNS-stigi. Google og YouTube IP tölur eru einnig athugaðar sem merki til að sjá hvort þeim hafi verið skipt út fyrir restrict.youtube.com, forcesafesearch.google.com og restrictmoderate.youtube.com. Viðbótar Mozilla innleiða einn prófunargestgjafa , sem ISPs og foreldraeftirlitsþjónustur geta notað sem fána til að slökkva á DoH (ef hýsilinn greinist ekki, slekkur Firefox á DoH).
Vinna í gegnum eina DoH-þjónustu getur einnig hugsanlega leitt til vandræða með umferðarhagræðingu í efnisafhendingarnetum sem koma jafnvægi á umferð með DNS (DNS-þjónn CDN-netsins býr til svar sem tekur mið af heimilisfangi lausnaraðila og veitir næsta hýsil til að taka á móti efnið). Að senda DNS fyrirspurn frá þeim sem er næst notandanum í slíkum CDN hefur í för með sér að skila heimilisfangi hýsilsins sem er næst notandanum, en að senda DNS fyrirspurn frá miðlægum lausnara mun skila hýsingarfanginu næst DNS-over-HTTPS þjóninum. . Prófanir sýndu í reynd að notkun DNS-yfir-HTTP þegar CDN var notað leiddi til nánast engra tafa áður en efnisflutningur hófst (fyrir hraðar tengingar fóru tafir ekki yfir 10 millisekúndur og enn hraðari árangur sást á hægum samskiptarásum ). Notkun EDNS Client Subnet viðbótarinnar var einnig talin veita CDN lausnaranum staðsetningarupplýsingar viðskiptavinar.
Við skulum muna að DoH getur verið gagnlegt til að koma í veg fyrir leka á upplýsingum um umbeðin hýsingarnöfn í gegnum DNS netþjóna veitenda, berjast gegn MITM árásum og skopstælingum á DNS umferð, vinna gegn blokkun á DNS stigi, eða til að skipuleggja vinnu ef það gerist. er ómögulegt að fá beinan aðgang að DNS netþjónum (til dæmis þegar unnið er í gegnum proxy). Ef við venjulegar aðstæður eru DNS beiðnir sendar beint á DNS netþjóna sem eru skilgreindir í kerfisstillingunni, þá í tilviki DoH, er beiðnin um að ákvarða IP tölu hýsilsins hjúpuð í HTTPS umferð og send á HTTP netþjóninn, þar sem lausnarinn vinnur beiðnir í gegnum vef API. Núverandi DNSSEC staðall notar dulkóðun eingöngu til að auðkenna biðlara og netþjón, en verndar ekki umferð fyrir hlerun og ábyrgist ekki trúnað um beiðnir.
Til að virkja DoH í about:config verður þú að breyta gildi breytunnar network.trr.mode, sem hefur verið studd síðan Firefox 60. Gildi 0 slekkur DoH algjörlega á; 1 - DNS eða DoH er notað, hvort sem er hraðast; 2 - DoH er sjálfgefið notað og DNS er notað sem varavalkostur; 3 - aðeins DoH er notað; 4 - speglunarstilling þar sem DoH og DNS eru notuð samhliða. Sjálfgefið er að CloudFlare DNS þjónninn er notaður, en honum er hægt að breyta í gegnum network.trr.uri færibreytuna, til dæmis geturðu stillt „https://dns.google.com/experimental“ eða „https://9.9.9.9 .XNUMX/dns-query "
Heimild: opennet.ru