Firefox әзірлеушілері АҚШ пайдаланушылары үшін әдепкі бойынша HTTPS арқылы DNS (DoH, HTTPS арқылы DNS) режимін қосу туралы. DNS трафигін шифрлау пайдаланушыларды қорғаудың маңызды факторы болып саналады. Бүгіннен бастап АҚШ пайдаланушыларының барлық жаңа орнатуларында әдепкі бойынша DoH қосылады. АҚШ-тың бар пайдаланушылары бірнеше апта ішінде DoH қызметіне ауысады деп жоспарланған. Еуропалық Одақ пен басқа елдерде әдепкі бойынша DoH қызметін әзірге белсендіріңіз .
DoH белсендірілгеннен кейін пайдаланушыға ескерту көрсетіледі, ол қалаған жағдайда орталықтандырылған DoH DNS серверлерімен байланысудан бас тартуға және провайдердің DNS серверіне шифрланбаған сұрауларды жіберудің дәстүрлі схемасына оралуға мүмкіндік береді. DNS шешушілердің бөлінген инфрақұрылымының орнына, DoH бір сәтсіздік нүктесі ретінде қарастырылуы мүмкін нақты DoH қызметіне байланыстыруды пайдаланады. Қазіргі уақытта жұмыс екі DNS провайдері арқылы ұсынылады - CloudFlare (әдепкі) және .
Провайдерді өзгертіңіз немесе DoH өшіріңіз желі қосылымының параметрлерінде. Мысалы, Google серверлеріне кіру үшін «https://dns.google/dns-query», «https://dns.quad9.net/dns-query» - Quad9 және «https:/» балама DoH серверін көрсетуге болады. /doh .opendns.com/dns-query" - OpenDNS. About:config сонымен қатар network.trr.mode параметрін қамтамасыз етеді, ол арқылы DoH жұмыс режимін өзгертуге болады: 0 мәні DoH толығымен өшіреді; 1 - қайсысы жылдамырақ болса, DNS немесе DoH пайдаланылады; 2 - DoH әдепкі бойынша пайдаланылады, ал DNS резервтік опция ретінде пайдаланылады; 3 - тек DoH қолданылады; 4 - DoH және DNS параллель пайдаланылатын шағылыстыру режимі.
Еске салайық, DoH провайдерлердің DNS серверлері арқылы сұралған хост атаулары туралы ақпараттың ағып кетуіне жол бермеу, MITM шабуылдарымен және DNS трафигі спуфингімен күресу (мысалы, жалпыға ортақ Wi-Fi желісіне қосылу кезінде), DNS-те блоктауға қарсы тұру үшін пайдалы болуы мүмкін. деңгейі (DoH DPI деңгейінде жүзеге асырылатын бұғаттауды айналып өту аймағында VPN-ді алмастыра алмайды) немесе DNS серверлеріне тікелей қол жеткізу мүмкін болмаса, жұмысты ұйымдастыру үшін (мысалы, прокси арқылы жұмыс істегенде). Егер қалыпты жағдайда DNS сұраулары жүйе конфигурациясында анықталған DNS серверлеріне тікелей жіберілсе, DoH жағдайында хосттың IP мекенжайын анықтауға сұрау HTTPS трафигінде инкапсуляцияланады және шешуші өңдейтін HTTP серверіне жіберіледі. Web API арқылы сұраулар. Қолданыстағы DNSSEC стандарты тек клиент пен сервердің аутентификациясы үшін шифрлауды пайдаланады, бірақ трафикті ұстап қалудан қорғамайды және сұраулардың құпиялылығына кепілдік бермейді.
Firefox-та ұсынылған DoH провайдерлерін таңдау үшін, сенімді DNS шешушілеріне, оған сәйкес DNS операторы шешу үшін алынған деректерді тек қызметтің жұмысын қамтамасыз ету үшін пайдалана алады, журналдарды 24 сағаттан артық сақтамауы керек, деректерді үшінші тұлғаларға бере алмайды және ақпаратты ашуға міндетті. мәліметтерді өңдеу әдістері. Сондай-ақ, қызмет заңда көзделген жағдайларды қоспағанда, DNS трафигін цензураға, сүзуге, кедергі жасамауға немесе бұғаттамауға келісуі керек.
DoH сақтықпен қолданылуы керек. Мысалы, Ресей Федерациясында Firefox-та ұсынылған mozilla.cloudflare-dns.com әдепкі DoH серверімен байланысты 104.16.248.249 және 104.16.249.249 IP мекенжайлары, в Ставрополь сотының талабы бойынша 10.06.2013 жылғы XNUMX маусымдағы.
DoH сонымен қатар ата-аналық бақылау жүйелері, корпоративтік жүйелердегі ішкі аттар кеңістігіне қол жеткізу, мазмұнды жеткізуді оңтайландыру жүйелерінде маршрут таңдау және заңсыз мазмұнды таратумен және пайдаланумен күресу саласындағы сот шешімдерін орындау сияқты салаларда проблемалар тудыруы мүмкін. кәмелетке толмағандар. Мұндай мәселелерді айналып өту үшін белгілі бір жағдайларда DoH қызметін автоматты түрде өшіретін тексеру жүйесі енгізілді және сынақтан өтті.
Кәсіпорын шешушілерін анықтау үшін типтік емес бірінші деңгейлі домендер (TLD) тексеріледі және жүйелік шешуші интранет мекенжайларын қайтарады. Ата-ана бақылауының қосылғанын анықтау үшін exampleadultsite.com атауын шешуге әрекет жасалады және нәтиже нақты IP-ге сәйкес келмесе, ересектерге арналған мазмұнды блоктау DNS деңгейінде белсенді деп саналады. Google және YouTube IP мекенжайлары да шектеу.youtube.com, forcesafesearch.google.com және чектөөmoderate.youtube.com арқылы ауыстырылғанын білу үшін белгілер ретінде тексеріледі. Бұл тексерулер шешуші жұмысын басқаратын немесе трафикке кедергі жасай алатын шабуылдаушыларға DNS трафигін шифрлауды өшіру үшін осындай әрекетті модельдеуге мүмкіндік береді.
Бір DoH қызметі арқылы жұмыс істеу сонымен қатар DNS арқылы трафикті теңестіретін мазмұнды жеткізу желілеріндегі трафикті оңтайландыру проблемаларына әкелуі мүмкін (CDN желісінің DNS сервері шешуші мекенжайды ескере отырып жауап жасайды және мазмұнды қабылдау үшін ең жақын хостты қамтамасыз етеді) . Мұндай CDN-лердегі пайдаланушыға ең жақын шешушіден DNS сұрауын жіберу пайдаланушыға ең жақын хосттың мекенжайын қайтаруға әкеледі, бірақ орталықтандырылған шешушіден DNS сұрауын жіберу DNS-over-HTTPS серверіне ең жақын хост мекенжайын қайтарады. . Іс жүзінде тестілеу CDN пайдалану кезінде DNS-over-HTTP пайдалану мазмұнды тасымалдау басталғанға дейін іс жүзінде ешқандай кідірістерге әкелмейтінін көрсетті (жылдам қосылымдар үшін кешігулер 10 миллисекундтан аспады, ал баяу байланыс арналарында одан да жылдамырақ өнімділік байқалды. ). CDN шешушіге клиенттің орналасқан жері туралы ақпаратты беру үшін EDNS Client ішкі желі кеңейтімін пайдалану да қарастырылды.
Ақпарат көзі: opennet.ru