Firefox Developers АКШ колдонуучулары үчүн демейки боюнча HTTPS аркылуу DNS (DoH, HTTPS үстүнөн DNS) режимин иштетүү жөнүндө. DNS трафигин шифрлөө колдонуучуларды коргоонун негизги фактору болуп эсептелет. Бүгүндөн баштап, АКШ колдонуучуларынын бардык жаңы орнотуулары демейки боюнча DoH иштетилет. Учурдагы АКШ колдонуучулары бир нече жуманын ичинде DoHге которулат. Европа Биримдигинде жана башка өлкөлөрдө азырынча демейки боюнча DoH иштетиңиз .
DoH активдештиргенден кийин колдонуучуга эскертүү көрсөтүлөт, ал кааласа борборлоштурулган DoH DNS серверлери менен байланышуудан баш тартууга жана провайдердин DNS серверине шифрленбеген суроо-талаптарды жөнөтүүнүн салттуу схемасына кайтууга мүмкүндүк берет. DNS чечүүчүлөрдүн бөлүштүрүлгөн инфраструктурасынын ордуна, DoH белгилүү бир DoH кызматына туташтырууну колдонот, аны бир эле иштен чыгуу чекити катары кароого болот. Учурда, иш эки DNS провайдерлери аркылуу сунушталат - CloudFlare (демейки) жана .
Провайдерди өзгөртүңүз же DoHди өчүрүңүз тармак туташуусу жөндөөлөрүндө. Мисалы, Google серверлерине кирүү үчүн "https://dns.google/dns-query" альтернативдүү DoH серверин көрсөтсөңүз болот, "https://dns.quad9.net/dns-query" - Quad9 жана "https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config ошондой эле network.trr.mode жөндөөсүн камсыз кылат, ал аркылуу сиз DoH иштөө режимин өзгөртө аласыз: 0 мааниси DoHди толугу менен өчүрөт; 1 - кайсынысы ылдамыраак болсо, DNS же DoH колдонулат; 2 - DoH демейки боюнча колдонулат, ал эми DNS резервдик опция катары колдонулат; 3 - DoH гана колдонулат; 4 - DoH жана DNS параллелдүү колдонулган чагылдыруу режими.
Эске сала кетсек, DoH провайдерлердин DNS серверлери аркылуу суралган хост аттары тууралуу маалыматтын агып кетишинин алдын алуу, MITM чабуулдарына жана DNS трафиктин спуфингине (мисалы, коомдук Wi-Fiга туташууда), DNS'де бөгөт коюуга каршы турууда пайдалуу болушу мүмкүн. деңгээл (DoH DPI деңгээлинде ишке ашырылган бөгөттөөлөрдү айланып өтүү чөйрөсүндө VPNди алмаштыра албайт) же DNS серверлерине түздөн-түз кирүү мүмкүн болбосо (мисалы, прокси аркылуу иштөөдө) ишти уюштуруу үчүн. Эгерде кадимки кырдаалда DNS суроо-талаптары системанын конфигурациясында аныкталган DNS серверлерине түз жөнөтүлсө, анда DoH учурда хосттун IP дарегин аныктоо өтүнүчү HTTPS трафигинде инкапсуляцияланат жана HTTP серверине жөнөтүлөт, ал жерде чечүүчү иштеп чыгат. Web API аркылуу суроо-талаптар. Учурдагы DNSSEC стандарты кардардын жана сервердин аутентификациясы үчүн гана шифрлөөнү колдонот, бирок трафикти тосуудан коргобойт жана суроо-талаптардын купуялуулугуна кепилдик бербейт.
Firefox-та сунушталган DoH провайдерлерин тандоо үчүн, ишенимдүү DNS чечүүчүлөргө, ага ылайык DNS оператору алынган маалыматтарды кызматтын иштешин камсыз кылуу үчүн гана колдоно алат, журналдарды 24 сааттан ашык сактабашы керек, маалыматтарды үчүнчү жактарга өткөрүп бере албайт жана бул тууралуу маалыматты ачыкка чыгарууга милдеттүү. маалыматтарды иштетүү ыкмалары. Кызмат ошондой эле мыйзамда каралган учурлардан тышкары, цензурага, чыпкалоого, кийлигишпөөгө же DNS трафикке бөгөт койбоого макул болушу керек.
DoH этияттык менен колдонулушу керек. Мисалы, Россия Федерациясында Firefox-та сунушталган mozilla.cloudflare-dns.com демейки DoH сервери менен байланышкан 104.16.248.249 жана 104.16.249.249 IP даректери, в Ставрополь сотунун 10.06.2013-жылдын XNUMX-июнундагы талабы боюнча.
DoH ошондой эле ата-энелик көзөмөл тутумдары, корпоративдик системалардагы ички аттар мейкиндигине кирүү, мазмунду жеткирүү оптималдаштыруу системаларында маршруттарды тандоо жана мыйзамсыз мазмунду жайылтууга жана эксплуатациялоого каршы күрөшүү чөйрөсүндө соттун буйруктарын аткаруу сыяктуу көйгөйлөрдү жаратышы мүмкүн. жашы жете элек балдар. Мындай көйгөйлөрдү четтетүү үчүн, белгилүү бир шарттарда DoHди автоматтык түрдө өчүрүүчү текшерүү системасы ишке ашырылган жана сыналган.
Ишкана чечүүчүлөрдү аныктоо үчүн, типтүү эмес биринчи деңгээлдеги домендер (TLDs) текшерилет жана система чечүүчү интранет даректерин кайтарат. Ата-эненин көзөмөлү иштетилгенин аныктоо үчүн exampleadultsite.com аталышын чечүүгө аракет жасалат жана натыйжа чыныгы IPге дал келбесе, DNS деңгээлинде чоңдор үчүн мазмунду бөгөттөө активдүү деп эсептелет. Google жана YouTube IP даректери да чектөө.youtube.com, forcesafesearch.google.com жана чектөөmoderate.youtube.com менен алмаштырылганын билүү үчүн белгилер катары текшерилет. Бул текшерүүлөр чечүүчүнүн ишин көзөмөлдөгөн же трафикке кийлигише алган чабуулчуларга DNS трафиктин шифрлөөсүн өчүрүү үчүн ушундай жүрүм-турумду окшоштурууга мүмкүндүк берет.
Бир DoH кызматы аркылуу иштөө DNS аркылуу трафикти тең салмактаган контент жеткирүү тармактарында трафикти оптималдаштырууда көйгөйлөргө алып келиши мүмкүн (CDN тармагынын DNS сервери чечүүчү даректи эске алуу менен жоопту жаратат жана мазмунду кабыл алуу үчүн эң жакын хостту камсыз кылат) . Мындай CDNдердеги колдонуучуга эң жакын чечүүчүдөн DNS суроосун жөнөтүү колдонуучуга эң жакын хосттун дарегин кайтарууга алып келет, бирок борборлоштурулган чечүүчүдөн DNS суроосун жөнөтүү DNS-over-HTTPS серверине эң жакын хост дарегин кайтарат. . Практикадагы тестирлөө көрсөткөндөй, CDNди колдонууда DNS-over-HTTP колдонуу контентти өткөрүп берүү башталганга чейин дээрлик эч кандай кечигүүлөргө алып келген эмес (тез туташуулар үчүн кечигүү 10 миллисекунддан ашкан эмес, ал эми жай байланыш каналдарында андан да тезирээк көрсөткүчтөр байкалган) ). EDNS Client Subnet кеңейтүүсүн колдонуу CDN чечүүчүгө кардардын жайгашкан жери тууралуу маалымат берүү үчүн да каралган.
Source: opennet.ru