Firefox Developers HTTPS аркылуу DNS (DoH, HTTPS аркылуу DNS) колдоону сынап көрүү аяктаганы жана сентябрдын аягында АКШнын колдонуучулары үчүн демейки боюнча бул технологияны иштетүү ниети жөнүндө. Активдештирүү алгач колдонуучулардын бир нече пайызы үчүн акырындык менен ишке ашырылат, ал эми көйгөйлөр болбосо, бара-бара 100% га чейин көбөйөт. АКШ камтылгандан кийин, DoH башка өлкөлөргө киргизүү үчүн каралат.
Жыл бою жүргүзүлгөн тесттер кызматтын ишенимдүүлүгүн жана жакшы иштешин көрсөттү, ошондой эле DoH көйгөйлөргө алып келиши мүмкүн болгон кээ бир жагдайларды аныктоого жана аларды айланып өтүү үчүн чечимдерди иштеп чыгууга мүмкүндүк берди (мисалы, демонтаждалган мазмун жеткирүү тармактарында трафикти оптималдаштыруу менен, ата-эненин көзөмөлүндө жана корпоративдик ички DNS зоналарында).
DNS трафикти шифрлөөнүн маанилүүлүгү колдонуучуларды коргоонун принципиалдуу маанилүү фактору катары бааланат, ошондуктан демейки боюнча DoHди иштетүү чечими кабыл алынды, бирок биринчи этапта Америка Кошмо Штаттарынын колдонуучулары үчүн гана. DoHди активдештиргенден кийин колдонуучу эскертүү алат, ал кааласа борборлоштурулган DoH DNS серверлери менен байланышуудан баш тартууга жана провайдердин DNS серверине шифрленбеген суроо-талаптарды жөнөтүүнүн салттуу схемасына кайтууга мүмкүндүк берет (DNS чечүүчүлөрдүн бөлүштүрүлгөн инфраструктурасынын ордуна, DoH белгилүү бир DoH кызматына байланышты колдонот, аны бир эле катачылык катары кароого болот).
DoH иштетилсе, интранет даректерин жана корпоративдик хостторду чечүү үчүн ички тармактын гана DNS аталышынын структурасын колдонгон ата-энелик көзөмөл системалары жана корпоративдик тармактар үзгүлтүккө учурашы мүмкүн. Мындай системалардагы көйгөйлөрдү чечүү үчүн DoHди автоматтык түрдө өчүрүүчү текшерүү системасы кошулду. Текшерүүлөр браузерди ишке киргизген сайын же ички тармактын өзгөрүүсү аныкталганда жүргүзүлөт.
Эгерде DoH аркылуу чечүү учурунда каталар болсо (мисалы, DoH провайдери менен тармактын жеткиликтүүлүгү үзгүлтүккө учураса же анын инфраструктурасында мүчүлүштүктөр пайда болсо) стандарттык операциялык тутум чечүүчүнү колдонууга автоматтык түрдө кайтып келүү камсыздалат. Мындай текшерүүлөрдүн мааниси күмөндүү, анткени чечүүчүнүн ишин башкарган же трафикке кийлигише алган чабуулчуларга DNS трафиктин шифрлөөсүн өчүрүү үчүн окшош жүрүм-турумду имитациялоого эч ким тоскоол болбойт. Көйгөй жөндөөлөргө "DoH ар дайым" пунктун кошуу менен чечилди (унчукпай жигердүү эмес), орнотулганда автоматтык өчүрүү колдонулбайт, бул акылга сыярлык компромисс.
Ишкана чечүүчүлөрдү аныктоо үчүн, типтүү эмес биринчи деңгээлдеги домендер (TLDs) текшерилет жана система чечүүчү интранет даректерин кайтарат. Ата-эненин көзөмөлү иштетилгенин аныктоо үчүн exampleadultsite.com аталышын чечүүгө аракет жасалат жана натыйжа чыныгы IPге дал келбесе, DNS деңгээлинде чоңдор үчүн мазмунду бөгөттөө активдүү деп эсептелет. Google жана YouTube IP даректери да чектөө.youtube.com, forcesafesearch.google.com жана чектөөmoderate.youtube.com менен алмаштырылганын билүү үчүн белгилер катары текшерилет. Кошумча Mozilla бир сыноо хостун ишке ашыруу , кайсы ISP жана ата-энелик көзөмөл кызматтары DoHди өчүрүү үчүн желек катары колдоно алат (эгерде хост аныкталбаса, Firefox DoHди өчүрөт).
Бир DoH кызматы аркылуу иштөө DNS аркылуу трафикти тең салмактаган контент жеткирүү тармактарында трафикти оптималдаштырууда көйгөйлөргө алып келиши мүмкүн (CDN тармагынын DNS сервери чечүүчү даректи эске алуу менен жоопту жаратат жана мазмунду кабыл алуу үчүн эң жакын хостту камсыз кылат) . Мындай CDNдердеги колдонуучуга эң жакын чечүүчүдөн DNS суроосун жөнөтүү колдонуучуга эң жакын хосттун дарегин кайтарууга алып келет, бирок борборлоштурулган чечүүчүдөн DNS суроосун жөнөтүү DNS-over-HTTPS серверине эң жакын хост дарегин кайтарат. . Практикадагы тестирлөө көрсөткөндөй, CDNди колдонууда DNS-over-HTTP колдонуу контентти өткөрүп берүү башталганга чейин дээрлик эч кандай кечигүүлөргө алып келген эмес (тез туташуулар үчүн кечигүү 10 миллисекунддан ашкан эмес, ал эми жай байланыш каналдарында андан да тезирээк көрсөткүчтөр байкалган) ). EDNS Client Subnet кеңейтүүсүн колдонуу CDN чечүүчүгө кардардын жайгашкан жери тууралуу маалымат берүү үчүн да каралган.
Эске сала кетсек, DoH провайдерлердин DNS серверлери аркылуу суралган хост аттары тууралуу маалыматтын агып кетишинин алдын алуу, MITM чабуулдарына жана DNS трафигинин спуфингине каршы күрөшүү, DNS деңгээлинде бөгөт коюуга каршы туруу, же мындай учурда ишти уюштуруу үчүн пайдалуу болушу мүмкүн. DNS серверлерине түздөн-түз кирүү мүмкүн эмес (мисалы, прокси аркылуу иштөөдө). Кадимки кырдаалда DNS суроо-талаптары системанын конфигурациясында аныкталган DNS серверлерине түз жөнөтүлсө, DoH учурда хосттун IP дарегин аныктоо өтүнүчү HTTPS трафигинде инкапсуляцияланат жана HTTP серверине жөнөтүлөт, ал жерде чечүүчү иштеп чыгат. Web API аркылуу суроо-талаптар. Учурдагы DNSSEC стандарты кардардын жана сервердин аутентификациясы үчүн гана шифрлөөнү колдонот, бирок трафикти тосуудан коргобойт жана суроо-талаптардын купуялуулугуна кепилдик бербейт.
about:config ичинде DoH иштетүү үчүн Firefox 60дан бери колдоого алынган network.trr.mode өзгөрмөнүн маанисин өзгөртүү керек. 0 мааниси DoHди толугу менен өчүрөт; 1 - кайсынысы ылдамыраак болсо, DNS же DoH колдонулат; 2 - DoH демейки боюнча колдонулат, ал эми DNS резервдик опция катары колдонулат; 3 - DoH гана колдонулат; 4 - DoH жана DNS параллелдүү колдонулган чагылдыруу режими. Демейки боюнча, CloudFlare DNS сервери колдонулат, бирок аны network.trr.uri параметри аркылуу өзгөртүүгө болот, мисалы, "https://dns.google.com/experimental" же "https://9.9.9.9" орното аласыз. .XNUMX/dns-суроо "
Source: opennet.ru