Pangembang Firefox babagan ngaktifake mode DNS liwat HTTPS (DoH, DNS liwat HTTPS) minangka standar kanggo pangguna AS. Enkripsi lalu lintas DNS dianggep minangka faktor dhasar sing penting kanggo nglindhungi pangguna. Wiwit dina iki, kabeh panginstalan anyar dening pangguna AS bakal ngaktifake DoH kanthi gawan. Pangguna AS sing wis ana dijadwalake bakal dialihake menyang DoH sajrone sawetara minggu. Ing Uni Eropa lan negara liya, aktifake DoH kanthi standar saiki .
Sawise ngaktifake DoH, bebaya ditampilake kanggo pangguna, sing ngidini, yen dikarepake, nolak ngubungi server DNS DoH terpusat lan bali menyang skema tradisional ngirim pitakon sing ora dienkripsi menyang server DNS panyedhiya. Tinimbang infrastruktur sing disebarake DNS solvers, DoH nggunakake ikatan menyang layanan DoH tartamtu, sing bisa dianggep minangka titik kegagalan. Saiki, karya ditawakake liwat loro panyedhiya DNS - CloudFlare (standar) lan .
Ganti panyedhiya utawa mateni DoH ing setelan sambungan jaringan. Contone, sampeyan bisa nemtokake server DoH alternatif "https://dns.google/dns-query" kanggo ngakses server Google, "https://dns.quad9.net/dns-query" - Quad9 lan "https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config uga nyedhiyakake setelan network.trr.mode, sing bisa ngganti mode operasi DoH: nilai 0 mateni DoH; 1 - DNS utawa DoH digunakake, endi wae sing luwih cepet; 2 - DoH digunakake minangka standar, lan DNS digunakake minangka pilihan mundur; 3 - mung DoH digunakake; 4 - mode mirroring ing ngendi DoH lan DNS digunakake bebarengan.
Elinga yen DoH bisa migunani kanggo nyegah bocor informasi babagan jeneng host sing dijaluk liwat server DNS saka panyedhiya, nglawan serangan MITM lan spoofing lalu lintas DNS (umpamane, nalika nyambung menyang Wi-Fi umum), nglawan pamblokiran ing DNS. level (DoH ora bisa ngganti VPN ing area bypassing blocking sing ditindakake ing tingkat DPI) utawa kanggo ngatur karya yen ora bisa ngakses server DNS langsung (contone, nalika nggarap proxy). Yen ing kahanan normal, panyuwunan DNS langsung dikirim menyang server DNS sing ditetepake ing konfigurasi sistem, banjur ing kasus DoH, panjalukan kanggo nemtokake alamat IP host wis encapsulated ing lalu lintas HTTPS lan dikirim menyang server HTTP, ing ngendi solver proses. panjalukan liwat Web API. Standar DNSSEC sing ana nggunakake enkripsi mung kanggo otentikasi klien lan server, nanging ora nglindhungi lalu lintas saka interception lan ora njamin rahasia panjalukan.
Kanggo milih panyedhiya DoH sing ditawakake ing Firefox, menyang solvers DNS sing bisa dipercaya, miturut operator DNS bisa nggunakake data sing ditampa kanggo resolusi mung kanggo mesthekake operasi layanan kasebut, ora kudu nyimpen log luwih saka 24 jam, ora bisa ngirim data menyang pihak katelu lan wajib ngumumake informasi babagan cara pangolahan data. Layanan kasebut uga kudu setuju supaya ora nyensor, nyaring, ngganggu utawa mblokir lalu lintas DNS, kajaba ing kahanan sing diwenehake dening hukum.
DoH kudu digunakake kanthi ati-ati. Contone, ing Federasi Rusia, alamat IP 104.16.248.249 lan 104.16.249.249 sing ana gandhengane karo server DoH standar mozilla.cloudflare-dns.com sing ditawakake ing Firefox, Π² ing panjalukan saka pengadilan Stavropol tanggal 10.06.2013 Juni XNUMX.
DoH uga bisa nyebabake masalah ing wilayah kayata sistem kontrol wong tuwa, akses menyang ruang jeneng internal ing sistem perusahaan, pilihan rute ing sistem optimalisasi pangiriman konten, lan tundhuk karo prentah pengadilan ing babagan nglawan distribusi konten ilegal lan eksploitasi. bocah cilik. Kanggo ngatasi masalah kasebut, sistem mriksa wis dileksanakake lan diuji sing otomatis mateni DoH ing kahanan tartamtu.
Kanggo ngenali solvers perusahaan, domain tingkat pertama (TLD) atipikal dicenthang lan solver sistem ngasilake alamat intranet. Kanggo nemtokake manawa kontrol parental diaktifake, nyoba kanggo mutusake masalah jeneng exampleadultsite.com lan yen asil ora cocog karo IP sing nyata, dianggep pamblokiran konten diwasa aktif ing tingkat DNS. Alamat IP Google lan YouTube uga dicenthang minangka pratandha kanggo ndeleng yen wis diganti dening restrict.youtube.com, forcesafesearch.google.com lan restrictmoderate.youtube.com. Pemeriksaa kasebut ngidini panyerang sing ngontrol operasi solver utawa bisa ngganggu lalu lintas kanggo simulasi prilaku kasebut kanggo mateni enkripsi lalu lintas DNS.
Nggarap layanan DoH siji uga bisa nyebabake masalah karo optimasi lalu lintas ing jaringan pangiriman konten sing ngimbangi lalu lintas nggunakake DNS (server DNS jaringan CDN ngasilake respon kanthi njupuk alamat solver lan nyedhiyakake host sing paling cedhak kanggo nampa konten kasebut). Ngirim pitakon DNS saka solver sing paling cedhak karo pangguna ing CDN kasebut ngasilake alamat host sing paling cedhak karo pangguna, nanging ngirim pitakon DNS saka solver terpusat bakal ngasilake alamat host sing paling cedhak karo server DNS-over-HTTPS. . Tes ing praktik nuduhake yen panggunaan DNS-over-HTTP nalika nggunakake CDN nyebabake meh ora ana wektu tundha sadurunge wiwitan transfer konten (kanggo sambungan cepet, telat ora ngluwihi 10 milidetik, lan kinerja sing luwih cepet diamati ing saluran komunikasi sing alon. ). Panggunaan ekstensi Subnet Klien EDNS uga dianggep nyedhiyakake informasi lokasi klien menyang solver CDN.
Source: opennet.ru