Firefox әзірлеушілері HTTPS арқылы DNS (DoH, HTTPS арқылы DNS) қолдауын тестілеудің аяқталуы және қыркүйек айының соңында АҚШ пайдаланушылары үшін бұл технологияны әдепкі бойынша қосу ниеті туралы. Іске қосу бастапқыда пайдаланушылардың бірнеше пайызы үшін біртіндеп жүзеге асырылады, ал егер проблемалар болмаса, біртіндеп 100% дейін артады. АҚШ қамтылғаннан кейін, DoH басқа елдерге қосу үшін қарастырылады.
Жыл бойы жүргізілген сынақтар қызметтің сенімділігі мен жақсы өнімділігін көрсетті, сонымен қатар DoH проблемаларға әкелуі мүмкін кейбір жағдайларды анықтауға және оларды айналып өту шешімдерін әзірлеуге мүмкіндік берді (мысалы, бөлшектелген мазмұнды жеткізу желілерінде, ата-ана бақылауында және корпоративтік ішкі DNS аймақтарында трафикті оңтайландырумен).
DNS трафигін шифрлаудың маңыздылығы пайдаланушыларды қорғаудың принципті маңызды факторы ретінде бағаланады, сондықтан әдепкі бойынша DoH қосу туралы шешім қабылданды, бірақ бірінші кезеңде тек Америка Құрама Штаттарынан келген пайдаланушылар үшін. DoH белсендірілгеннен кейін пайдаланушы қалаған жағдайда орталықтандырылған DoH DNS серверлерімен байланысудан бас тартуға және провайдердің DNS серверіне шифрланбаған сұрауларды жіберудің дәстүрлі схемасына оралуға мүмкіндік беретін ескерту алады (DNS шешушілердің бөлінген инфрақұрылымының орнына, DoH белгілі бір DoH қызметіне байланыстыруды пайдаланады, оны бір сәтсіздік нүктесі деп санауға болады).
DoH іске қосылса, интранет мекенжайлары мен корпоративтік хосттарды шешу үшін тек ішкі желілік DNS атау құрылымын пайдаланатын ата-аналық бақылау жүйелері мен корпоративтік желілер бұзылуы мүмкін. Мұндай жүйелермен проблемаларды шешу үшін DoH автоматты түрде өшіретін тексеру жүйесі қосылды. Тексерулер браузер іске қосылған сайын немесе ішкі желі өзгерісі анықталғанда орындалады.
DoH арқылы шешу кезінде қателер орын алса (мысалы, DoH провайдерімен желі қолжетімділігі бұзылса немесе оның инфрақұрылымында ақаулар орын алса) стандартты операциялық жүйені шешу құралын пайдалануға автоматты түрде қайтару қамтамасыз етіледі. Мұндай тексерулердің мағынасы күмәнді, өйткені шешуші жұмысын басқаратын немесе трафикке кедергі жасай алатын шабуылдаушыларға DNS трафигін шифрлауды өшіру үшін ұқсас әрекетті модельдеуге ешкім кедергі келтірмейді. Мәселе параметрлерге «DoH әрқашан» тармағын қосу арқылы шешілді (үнсіз белсенді емес), орнатылған кезде автоматты өшіру қолданылмайды, бұл ақылға қонымды ымыра.
Кәсіпорын шешушілерін анықтау үшін типтік емес бірінші деңгейлі домендер (TLD) тексеріледі және жүйелік шешуші интранет мекенжайларын қайтарады. Ата-ана бақылауының қосылғанын анықтау үшін exampleadultsite.com атауын шешуге әрекет жасалады және нәтиже нақты IP-ге сәйкес келмесе, ересектерге арналған мазмұнды блоктау DNS деңгейінде белсенді деп саналады. Google және YouTube IP мекенжайлары да шектеу.youtube.com, forcesafesearch.google.com және чектөөmoderate.youtube.com арқылы ауыстырылғанын білу үшін белгілер ретінде тексеріледі. Қосымша Mozilla бір сынақ хостын енгізу , ISP және ата-ана бақылау қызметтері DoH өшіру үшін жалауша ретінде пайдалана алады (егер хост анықталмаса, Firefox DoH өшіреді).
Бір DoH қызметі арқылы жұмыс істеу сонымен қатар DNS арқылы трафикті теңестіретін мазмұнды жеткізу желілеріндегі трафикті оңтайландыру проблемаларына әкелуі мүмкін (CDN желісінің DNS сервері шешуші мекенжайды ескере отырып жауап жасайды және мазмұнды қабылдау үшін ең жақын хостты қамтамасыз етеді) . Мұндай CDN-лердегі пайдаланушыға ең жақын шешушіден DNS сұрауын жіберу пайдаланушыға ең жақын хосттың мекенжайын қайтаруға әкеледі, бірақ орталықтандырылған шешушіден DNS сұрауын жіберу DNS-over-HTTPS серверіне ең жақын хост мекенжайын қайтарады. . Іс жүзінде тестілеу CDN пайдалану кезінде DNS-over-HTTP пайдалану мазмұнды тасымалдау басталғанға дейін іс жүзінде ешқандай кідірістерге әкелмейтінін көрсетті (жылдам қосылымдар үшін кешігулер 10 миллисекундтан аспады, ал баяу байланыс арналарында одан да жылдамырақ өнімділік байқалды. ). CDN шешушіге клиенттің орналасқан жері туралы ақпаратты беру үшін EDNS Client ішкі желі кеңейтімін пайдалану да қарастырылды.
Еске салайық, DoH провайдерлердің DNS серверлері арқылы сұралған хост атаулары туралы ақпараттың ағып кетуіне жол бермеу, MITM шабуылдарымен және DNS трафигі спуфингімен күресу, DNS деңгейінде блоктауға қарсы тұру немесе бұл жағдайда жұмысты ұйымдастыру үшін пайдалы болуы мүмкін. DNS серверлеріне тікелей қол жеткізу мүмкін емес (мысалы, прокси арқылы жұмыс істегенде). Егер қалыпты жағдайда DNS сұраулары жүйе конфигурациясында анықталған DNS серверлеріне тікелей жіберілсе, DoH жағдайында хосттың IP мекенжайын анықтауға сұрау HTTPS трафигінде инкапсуляцияланады және шешуші өңдейтін HTTP серверіне жіберіледі. Web API арқылы сұраулар. Қолданыстағы DNSSEC стандарты тек клиент пен сервердің аутентификациясы үшін шифрлауды пайдаланады, бірақ трафикті ұстап қалудан қорғамайды және сұраулардың құпиялылығына кепілдік бермейді.
About:config ішінде DoH қосу үшін Firefox 60 нұсқасынан бері қолдау көрсетілетін network.trr.mode айнымалы мәнін өзгерту керек. 0 мәні DoH толық өшіреді; 1 - қайсысы жылдамырақ болса, DNS немесе DoH пайдаланылады; 2 - DoH әдепкі бойынша пайдаланылады, ал DNS резервтік опция ретінде пайдаланылады; 3 - тек DoH қолданылады; 4 - DoH және DNS параллель пайдаланылатын шағылыстыру режимі. Әдепкі бойынша CloudFlare DNS сервері пайдаланылады, бірақ оны network.trr.uri параметрі арқылы өзгертуге болады, мысалы, «https://dns.google.com/experimental» немесе «https://9.9.9.9» орнатуға болады. .XNUMX/dns-сұрау "
Ақпарат көзі: opennet.ru