Pêşdebirên Firefox li ser çalakkirina DNS-ê li ser moda HTTPS (DoH, DNS ser HTTPS) ji hêla xwerû ji bo bikarhênerên Dewletên Yekbûyî. Şîfrekirina seyrûsefera DNS di parastina bikarhêneran de faktorek bingehîn a girîng tê hesibandin. Ji îro pê ve, hemî sazkirinên nû ji hêla bikarhênerên Dewletên Yekbûyî ve dê DoH ji hêla xwerû ve çalak be. Tê payîn ku bikarhênerên Dewletên Yekbûyî yên heyî di nav çend hefteyan de ji DoH re werin veguheztin. Li Yekîtiya Ewropî û welatên din, heya niha DoH ji hêla xwerû ve çalak bikin .
Piştî aktîvkirina DoH, hişyariyek ji bikarhêner re tê xuyang kirin, ku dihêle, ger bixwaze, têkilî bi serverên DNS yên navendî yên DoH-ê re red bike û vegere pilana kevneşopî ya şandina pirsên neşîfrekirî ji servera DNS ya pêşkêşker re. Li şûna binesaziyek dabeşkirî ya çareserkerên DNS, DoH girêdanek bi karûbarek taybetî ya DoH-ê re bikar tîne, ku dikare wekî xalek têkçûnek yekane were hesibandin. Heya nuha, kar bi navgîniya du pêşkêşkerên DNS - CloudFlare (xweserî) û .
Pêşkêşker biguherînin an DoH neçalak bikin di mîhengên girêdana torê de. Mînakî, hûn dikarin serverek DoH-a alternatîf "https://dns.google/dns-query" diyar bikin ku bigihîje pêşkêşkerên Google, "https://dns.quad9.net/dns-query" - Quad9 û "https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config mîhenga network.trr.mode jî peyda dike, ku bi riya wê hûn dikarin moda xebitandina DoH biguherînin: nirxa 0 bi tevahî DoH-ê asteng dike; 1 - DNS an DoH tê bikaranîn, kîjan zûtir be; 2 - DoH ji hêla xwerû ve tê bikar anîn, û DNS wekî vebijarkek paşverû tê bikar anîn; 3 - tenê DoH tê bikaranîn; 4 - moda neynikê ku tê de DoH û DNS bi hev re têne bikar anîn.
Werin em bînin bîra xwe ku DoH dikare ji bo pêşîlêgirtina agahdariya li ser navên mêvandar ên daxwazkirî bi navgîniya pêşkêşkerên DNS-yê pêşkêşkeran ve, li dijî êrîşên MITM û xapandina trafîkê ya DNS-ê (mînak, dema ku bi Wi-Fi-ya gelemperî ve girêdide), berevajîkirina astengkirina li DNS-ê kêrhatî be. astê (DoH nikare VPN-ê di warê dorpêçkirina astengkirina ku di asta DPI-ê de hatî bicîh kirin de biguhezîne) an ji bo organîzekirina xebatê heke ne gengaz be ku rasterast bigihîje serverên DNS (mînakî, dema ku bi navgînek ve dixebitin). Ger di rewşek normal de daxwazên DNS rasterast ji serverên DNS yên ku di veavakirina pergalê de hatine destnîşan kirin têne şandin, wê hingê di doza DoH de, daxwaza destnîşankirina navnîşana IP-ya mêvandar di seyrûsefera HTTPS-ê de tête girtin û ji servera HTTP re tê şandin, ku li wir çareserker pêvajoyê dike. daxwazên bi rêya Web API. Standarda DNSSEC ya heyî tenê şîfrekirinê bikar tîne da ku xerîdar û serverê rast bike, lê seyrûseferê ji destgirtinê naparêze û nepenîtiya daxwazan garantî nake.
Ji bo hilbijartina pêşkêşkerên DoH yên ku di Firefox-ê de têne pêşkêş kirin, ji çareserkerên DNS-ê yên pêbawer re, li gorî ku operator DNS dikare daneyên ku ji bo çareseriyê hatine wergirtin bikar bîne tenê da ku karûbarê karûbarê misoger bike, divê têketinên ji 24 demjimêran zêdetir hilnede, nekare daneyan ji aliyên sêyemîn re veguhezîne û neçar e ku agahdariya derheqê eşkere bike. rêbazên pêvajoya daneyê. Pêdivî ye ku karûbar di heman demê de razî nebe ku sansûr, fîlter, mudaxeleyî seyrûsefera DNS-ê neke an asteng neke, ji bilî rewşên ku bi qanûnê têne peyda kirin.
DoH divê bi hişyarî were bikar anîn. Mînakî, li Federasyona Rûsyayê, navnîşanên IP-yê 104.16.248.249 û 104.16.249.249 bi servera DoH-ya xwerû mozilla.cloudflare-dns.com ve girêdayî ye ku di Firefox-ê de tê pêşkêş kirin, в li ser daxwaza dadgeha Stavropolê ya 10.06.2013.
DoH di heman demê de dikare di warên wekî pergalên kontrolkirina dêûbav de, gihîştina navên navên hundurîn ên di pergalên pargîdanî de, hilbijartina rêgezê di pergalên xweşbînkirina radestkirina naverokê de, û pêkanîna biryarên dadgehê di warê têkoşîna li dijî belavkirina naveroka neqanûnî û karanîna biçûkan. Ji bo rêgirtina li pirsgirêkên weha, pergalek kontrolê hate sepandin û ceribandin ku bixweber DoH di bin hin mercan de neçalak dike.
Ji bo tespîtkirina çareserkerên pargîdanî, domên asta yekem a atipîkî (TLD) têne kontrol kirin û çareserkerê pergalê navnîşanên intranetê vedigerîne. Ji bo destnîşankirina ka kontrolên dêûbavê çalak in an na, hewl tê dayîn ku navê exampleadultsite.com were çareser kirin û heke encam bi IP-ya rastîn re nebe, tê hesibandin ku astengkirina naveroka mezinan di asta DNS de çalak e. Navnîşanên IP-ya Google û YouTube-ê jî wekî nîşanan têne kontrol kirin da ku bibînin ka li şûna wan limited.youtube.com, forceafesearch.google.com û limitedmoderate.youtube.com hatine guhertin. Van kontrolan dihêlin êrişkerên ku operasyona çareserkerê kontrol dikin an jî dikarin destwerdanê bi seyrûseferê bikin da ku tevgerek weha simul bikin da ku şîfrekirina seyrûsefera DNS-ê neçalak bikin.
Karkirina bi yek karûbarek DoH re jî dibe ku bibe sedema pirsgirêkên xweşbîniya seyrûseferê di torên radestkirina naverokê de ku seyrûsefera bi karanîna DNS-ê hevseng dike (Pêşkêşkera DNS ya tora CDN bersivek li ser navnîşana çareserkerê diafirîne û mêvandarê herî nêzîk peyda dike ku naverokê werbigire). Di CDN-yên weha de şandina pirsek DNS-ê ji çareserkerê herî nêzê bikarhênerê di CDN-yên weha de dibe sedema vegerandina navnîşana mêvandarê herî nêzê bikarhêner, lê şandina pirsek DNS-ê ji çareserkerek navendî dê navnîşana mêvandar a herî nêzê servera DNS-ser-HTTPS vegerîne. . Di pratîkê de ceribandinê destnîşan kir ku karanîna DNS-ser-HTTP dema ku CDN-yek bikar tîne bû sedema hema hema tu dereng berî destpêkirina veguheztina naverokê (ji bo girêdanên bilez, dereng ji 10 milî çirkeyan derbas nebû, û hêj performansa zûtir li ser kanalên ragihandinê yên hêdî hate dîtin. ). Bikaranîna dirêjkirina Subneta Client EDNS jî hate hesibandin ku agahdariya cîhê xerîdar ji çareserkerê CDN re peyda bike.
Source: opennet.ru