Pangembang Firefox babagan completion saka testing support kanggo DNS liwat HTTPS (DoH, DNS liwat HTTPS) lan niat kanggo ngaktifake teknologi iki minangka standar kanggo pangguna AS ing pungkasan September. Aktivasi bakal ditindakake kanthi progresif, wiwitane kanggo sawetara persen pangguna, lan yen ora ana masalah, mboko sithik mundhak dadi 100%. Sawise AS dilindhungi, DoH bakal dianggep kalebu ing negara liya.
Tes sing ditindakake ing saindhenging taun nuduhake linuwih lan kinerja layanan sing apik, lan uga bisa kanggo ngenali sawetara kahanan ing ngendi DoH bisa nyebabake masalah lan ngembangake solusi kanggo ngatasi masalah kasebut (contone, disassembled). kanthi optimalisasi lalu lintas ing jaringan pangiriman konten, kontrol wong tuwa lan zona DNS internal perusahaan).
Pentinge enkripsi lalu lintas DNS ditaksir minangka faktor dhasar penting kanggo nglindhungi pangguna, mula diputusake kanggo ngaktifake DoH kanthi standar, nanging ing tahap pisanan mung kanggo pangguna saka Amerika Serikat. Sawise ngaktifake DoH, pangguna bakal nampa bebaya sing bakal ngidini, yen pengin, nolak ngubungi server DNS DoH terpusat lan bali menyang skema tradisional kanggo ngirim panjaluk sing ora dienkripsi menyang server DNS panyedhiya (tinimbang infrastruktur sing disebarake DNS solvers, DoH nggunakake ikatan karo layanan DoH tartamtu, sing bisa dianggep minangka titik kegagalan).
Yen DoH diaktifake, sistem kontrol wong tuwa lan jaringan perusahaan sing nggunakake struktur jeneng DNS mung jaringan internal kanggo ngatasi alamat intranet lan host perusahaan bisa uga kaganggu. Kanggo ngatasi masalah karo sistem kasebut, sistem pamriksa wis ditambahake sing mateni DoH kanthi otomatis. Pemriksaan ditindakake saben browser dibukak utawa nalika owah-owahan subnet dideteksi.
Wangsulan otomatis kanggo nggunakake solver sistem operasi standar uga diwenehake yen gagal nalika resolusi liwat DoH (contone, yen kasedhiyan jaringan karo panyedhiya DoH kaganggu utawa gagal ing infrastruktur). Makna pemeriksaan kasebut bisa dipertanyakan, amarga ora ana sing ngalangi panyerang sing ngontrol operasi solver utawa bisa ngganggu lalu lintas saka simulasi prilaku sing padha kanggo mateni enkripsi lalu lintas DNS. Masalah kasebut ditanggulangi kanthi nambahake item "DoH tansah" menyang setelan (meneng ora aktif), nalika disetel, mati otomatis ora ditrapake, sing minangka kompromi sing cukup.
Kanggo ngenali solvers perusahaan, domain tingkat pertama (TLD) atipikal dicenthang lan solver sistem ngasilake alamat intranet. Kanggo nemtokake manawa kontrol parental diaktifake, ana upaya kanggo mutusake masalah jeneng exampleadultsite.com lan yen asil ora cocog karo IP sing nyata, dianggep pamblokiran konten diwasa aktif ing tingkat DNS. Alamat IP Google lan YouTube uga dicenthang minangka pratandha kanggo ndeleng yen wis diganti dening restrict.youtube.com, forcesafesearch.google.com lan restrictmoderate.youtube.com. Mozilla tambahan ngleksanakake host test siji , sing ISP lan layanan kontrol wong tuwa bisa digunakake minangka gendera kanggo mateni DoH (yen host ora dideteksi, Firefox mateni DoH).
Nggarap layanan DoH siji uga bisa nyebabake masalah karo optimasi lalu lintas ing jaringan pangiriman konten sing ngimbangi lalu lintas nggunakake DNS (server DNS jaringan CDN ngasilake respon kanthi njupuk alamat solver lan nyedhiyakake host sing paling cedhak kanggo nampa konten kasebut). Ngirim pitakon DNS saka solver sing paling cedhak karo pangguna ing CDN kasebut ngasilake alamat host sing paling cedhak karo pangguna, nanging ngirim pitakon DNS saka solver terpusat bakal ngasilake alamat host sing paling cedhak karo server DNS-over-HTTPS. . Tes ing praktik nuduhake yen panggunaan DNS-over-HTTP nalika nggunakake CDN nyebabake meh ora ana wektu tundha sadurunge wiwitan transfer konten (kanggo sambungan cepet, telat ora ngluwihi 10 milidetik, lan kinerja sing luwih cepet diamati ing saluran komunikasi sing alon. ). Panggunaan ekstensi Subnet Klien EDNS uga dianggep nyedhiyakake informasi lokasi klien menyang solver CDN.
Elinga yen DoH bisa migunani kanggo nyegah bocor informasi babagan jeneng host sing dijaluk liwat server DNS saka panyedhiya, nglawan serangan MITM lan spoofing lalu lintas DNS, nyegah pamblokiran ing tingkat DNS, utawa kanggo ngatur karya yen kedadeyan kasebut. ora bisa langsung ngakses server DNS (contone, nalika nggarap proxy). Yen ing kahanan normal, panyuwunan DNS langsung dikirim menyang server DNS sing ditetepake ing konfigurasi sistem, banjur ing kasus DoH, panjalukan kanggo nemtokake alamat IP inang wis encapsulated ing lalu lintas HTTPS lan dikirim menyang server HTTP, ngendi solver proses. panjalukan liwat API Web. Standar DNSSEC sing ana nggunakake enkripsi mung kanggo otentikasi klien lan server, nanging ora nglindhungi lalu lintas saka interception lan ora njamin rahasia panjalukan.
Kanggo ngaktifake DoH ing babagan:config, sampeyan kudu ngganti Nilai saka network.trr.mode variabel, kang wis didhukung wiwit Firefox 60. Nilai 0 disables DoH rampung; 1 - DNS utawa DoH digunakake, endi wae sing luwih cepet; 2 - DoH digunakake minangka standar, lan DNS digunakake minangka pilihan mundur; 3 - mung DoH digunakake; 4 - mode mirroring ing ngendi DoH lan DNS digunakake bebarengan. Kanthi gawan, server DNS CloudFlare digunakake, nanging bisa diganti liwat parameter network.trr.uri, contone, sampeyan bisa nyetel "https://dns.google.com/experimental" utawa "https://9.9.9.9". .XNUMX/dns-query "
Source: opennet.ru