Mozilla компаниясы Firefox үчүн HTTPS аркылуу DNS (DoH, HTTPS үстүнөн DNS) үчүнчү провайдерлери менен макулдашуу. Мурда сунушталган DNS серверлеринен тышкары CloudFlare (“https://1.1.1.1/dns-query”) жана (), Comcast кызматы да жөндөөлөргө кошулат (https://doh.xfinity.com/dns-query). DoH иштетиңиз жана тандаңыз тармак туташуусу жөндөөлөрүндө.
Firefox 77 ар бир кардар 10 сыноо сурамын жөнөтүп, DoH провайдерин автоматтык түрдө тандоо менен HTTPS аркылуу DNS тестин камтыганын эстейли. Бул текшерүүнү чыгарууда өчүрүү керек болчу , анткени ал жүктү көтөрө албаган NextDNS кызматына DDoS чабуулуна айланган.
Firefox-та сунушталган DoH провайдерлери ылайык тандалат ишенимдүү DNS чечүүчүлөргө, ага ылайык DNS оператору алынган маалыматтарды кызматтын иштешин камсыз кылуу үчүн гана колдоно алат, журналдарды 24 сааттан ашык сактабашы керек, маалыматтарды үчүнчү жактарга өткөрүп бере албайт жана бул тууралуу маалыматты ачыкка чыгарууга милдеттүү. маалыматтарды иштетүү ыкмалары. Кызмат ошондой эле мыйзамда каралган учурлардан тышкары, цензурага, чыпкалоого, кийлигишпөөгө же DNS трафикке бөгөт койбоого макул болушу керек.
DNS-over-HTTPS менен байланышкан окуяларды да белгилесе болот Apple DNS-over-HTTPS жана DNS-over-TLS үчүн iOS 14 жана macOS 11дин келечектеги чыгарылыштарында, ошондой эле колдоону ишке ашырат. Safariдеги WebExtension кеңейтүүлөрүн колдоо.
Эске сала кетсек, DoH провайдерлердин DNS серверлери аркылуу суралган хост аттары тууралуу маалыматтын агып кетишинин алдын алуу, MITM чабуулдарына жана DNS трафиктин спуфингине (мисалы, коомдук Wi-Fiга туташууда), DNS'де бөгөт коюуга каршы турууда пайдалуу болушу мүмкүн. деңгээл (DoH DPI деңгээлинде ишке ашырылган бөгөттөөлөрдү айланып өтүү чөйрөсүндө VPNди алмаштыра албайт) же DNS серверлерине түздөн-түз кирүү мүмкүн болбосо (мисалы, прокси аркылуу иштөөдө) ишти уюштуруу үчүн. Эгерде кадимки кырдаалда DNS суроо-талаптары системанын конфигурациясында аныкталган DNS серверлерине түз жөнөтүлсө, анда DoH учурда хосттун IP дарегин аныктоо өтүнүчү HTTPS трафигинде инкапсуляцияланат жана HTTP серверине жөнөтүлөт, ал жерде чечүүчү иштеп чыгат. Web API аркылуу суроо-талаптар. Учурдагы DNSSEC стандарты кардардын жана сервердин аутентификациясы үчүн гана шифрлөөнү колдонот, бирок трафикти тосуудан коргобойт жана суроо-талаптардын купуялуулугуна кепилдик бербейт.
Source: opennet.ru