Pêşdebirên Firefox di derbarê qedandina piştgiriya ceribandinê ya ji bo DNS-ê li ser HTTPS (DoH, DNS li ser HTTPS) û mebesta çalakkirina vê teknolojiyê ji hêla xwerû ji bo bikarhênerên Dewletên Yekbûyî di dawiya Îlonê de. Çalakkirin dê bi pêşkeftî were kirin, di destpêkê de ji bo çend ji sedî bikarhêneran, û heke pirsgirêk tunebin, hêdî hêdî bi 100% zêde dibe. Dema ku DY hate girtin, DoH dê ji bo tevlêbûna li welatên din were hesibandin.
Testên ku di seranserê salê de hatine kirin pêbawerî û performansa baş a karûbarê destnîşan kirin, û her weha îmkana naskirina hin rewşên ku DoH dikare bibe sedema pirsgirêkan û pêşxistina çareseriyên ji bo dorpêçkirina wan (mînak, jihevdexistin bi xweşbîniya seyrûseferê di torên radestkirina naverokê, kontrolên dêûbav û qadên DNS yên navxweyî yên pargîdanî de).
Girîngiya şîfrekirina seyrûsefera DNS wekî faktorek bingehîn a girîng di parastina bikarhêneran de tê nirxandin, ji ber vê yekê biryar hate girtin ku DoH ji hêla xwerû ve were çalak kirin, lê di qonaxa yekem de tenê ji bo bikarhênerên ji Dewletên Yekbûyî. Piştî aktîvkirina DoH, bikarhêner dê hişyariyek werbigire ku, heke bixwaze, dê rê bide ku têkilî bi serverên DNS yên navendî yên DoH-ê re red bike û vegere nexşeya kevneşopî ya şandina daxwazên neşîfrekirî ji servera DNS ya pêşkêşker re (li şûna binesaziyek belavkirî ya çareserkerên DNS, DoH girêdana karûbarek taybetî ya DoH bikar tîne, ku dikare wekî xalek têkçûnek yekane were hesibandin).
Ger DoH were çalak kirin, dibe ku pergalên kontrola dêûbav û torên pargîdanî yên ku strukturên navên DNS-tenê yên torê yên hundurîn bikar tînin da ku navnîşanên intranet û mêvandarên pargîdanî çareser bikin werin xera kirin. Ji bo çareserkirina pirsgirêkên bi pergalên weha re, pergalek kontrolê hate zêdekirin ku bixweber DoH-ê asteng dike. Her carê ku gerok tê destpêkirin an dema ku guherînek jêrtorê tê dîtin, kontrol têne kirin.
Vegerek otomatîkî ya karanîna çareserkera pergala xebitandinê ya standard jî tê peyda kirin heke di dema çareseriyê de bi riya DoH têkçûn çêbibin (mînakek, heke hebûna torê bi peydakerê DoH re were qut kirin an têkçûn di binesaziya wê de çêbibin). Wateya kontrolên weha gumanbar e, ji ber ku kes rê nade êrişkerên ku operasyona çareserkerê kontrol dikin an jî dikarin di nav trafîkê de mudaxele bikin ji simulkirina tevgerên wekhev ji bo neçalakkirina şîfrekirina seyrûsefera DNS. Pirsgirêk bi lê zêdekirina xala "DoH herdem" li mîhengan (bêdeng neçalak) hate çareser kirin, dema ku were danîn, girtina otomatîk nayê sepandin, ku ev lihevkirinek maqûl e.
Ji bo tespîtkirina çareserkerên pargîdanî, domên asta yekem a atipîkî (TLD) têne kontrol kirin û çareserkerê pergalê navnîşanên intranetê vedigerîne. Ji bo destnîşankirina ka kontrolên dêûbavê çalak in an na, hewl tê dayîn ku navê exampleadultsite.com were çareser kirin û heke encam bi IP-ya rastîn re nebe, tê hesibandin ku astengkirina naveroka mezinan di asta DNS de çalak e. Navnîşanên IP-ya Google û YouTube-ê jî wekî nîşanan têne kontrol kirin da ku bibînin ka li şûna wan limited.youtube.com, forceafesearch.google.com û limitedmoderate.youtube.com hatine guhertin. Zêdetir Mozilla bicîh bikin yek host test , ku ISP û karûbarên kontrola dêûbav dikarin wekî ala bikar bînin da ku DoH neçalak bikin (heke mêvandar neyê dîtin, Firefox DoH-ê asteng dike).
Karkirina bi yek karûbarek DoH re jî dibe ku bibe sedema pirsgirêkên xweşbîniya seyrûseferê di torên radestkirina naverokê de ku seyrûsefera bi karanîna DNS-ê hevseng dike (Pêşkêşkera DNS ya tora CDN bersivek li ser navnîşana çareserkerê diafirîne û mêvandarê herî nêzîk peyda dike ku naverokê werbigire). Di CDN-yên weha de şandina pirsek DNS-ê ji çareserkerê herî nêzê bikarhênerê di CDN-yên weha de dibe sedema vegerandina navnîşana mêvandarê herî nêzê bikarhêner, lê şandina pirsek DNS-ê ji çareserkerek navendî dê navnîşana mêvandar a herî nêzê servera DNS-ser-HTTPS vegerîne. . Di pratîkê de ceribandinê destnîşan kir ku karanîna DNS-ser-HTTP dema ku CDN-yek bikar tîne bû sedema hema hema tu dereng berî destpêkirina veguheztina naverokê (ji bo girêdanên bilez, dereng ji 10 milî çirkeyan derbas nebû, û hêj performansa zûtir li ser kanalên ragihandinê yên hêdî hate dîtin. ). Bikaranîna dirêjkirina Subneta Client EDNS jî hate hesibandin ku agahdariya cîhê xerîdar ji çareserkerê CDN re peyda bike.
Werin em bînin bîra xwe ku DoH dikare ji bo pêşîlêgirtina agahdariya li ser navên mêvandar ên daxwazkirî bi navgîniya pêşkêşkerên DNS-ya pêşkêşkeran, şerkirina êrişên MITM û xapandina seyrûsefera DNS-ê, berevajîkirina astengkirina di asta DNS-ê de, an jî ji bo organîzekirina xebata di bûyera ku ew bikêrhatî be. ne gengaz e ku meriv rasterast bigihîje serverên DNS (mînakî, dema ku bi navbeynkarek dixebite). Ger di rewşek normal de daxwazên DNS rasterast ji serverên DNS yên ku di veavakirina pergalê de hatine destnîşan kirin têne şandin, wê hingê di doza DoH de, daxwaza destnîşankirina navnîşana IP-ya mêvandar di seyrûsefera HTTPS-ê de tête girtin û ji servera HTTP re tê şandin, ku li wir çareserker pêvajoyê dike. daxwazên bi rêya Web API. Standarda DNSSEC ya heyî tenê şîfrekirinê bikar tîne da ku xerîdar û serverê rast bike, lê seyrûseferê ji destgirtinê naparêze û nepenîtiya daxwazan garantî nake.
Ji bo çalakkirina DoH di about:config de, divê hûn nirxa guhêrbar network.trr.mode, ku ji Firefox 60-an vir ve tê piştgirî kirin biguhezînin. Nirxa 0 DoH bi tevahî asteng dike; 1 - DNS an DoH tê bikaranîn, kîjan zûtir be; 2 - DoH ji hêla xwerû ve tê bikar anîn, û DNS wekî vebijarkek paşverû tê bikar anîn; 3 - tenê DoH tê bikaranîn; 4 - moda neynikê ku tê de DoH û DNS bi hev re têne bikar anîn. Bi xwerû, servera CloudFlare DNS-ê tê bikar anîn, lê ew dikare bi parametreya network.trr.uri were guheztin, mînakî, hûn dikarin "https://dns.google.com/experimental" an "https://9.9.9.9" saz bikin. .XNUMX/dns-query "
Source: opennet.ru