Firefox Entwéckler iwwer DNS iwwer HTTPS (DoH, DNS iwwer HTTPS) Modus als Standard fir US Benotzer z'aktivéieren. Verschlësselung vum DNS-Traffic gëtt als grondleeënd wichtege Faktor ugesinn fir d'Benotzer ze schützen. Vun haut un, all nei Installatiounen vun US Benotzer hunn DoH als Standard aktivéiert. Bestehend US Benotzer sinn geplangt fir bannent e puer Wochen op DoH gewiesselt ze ginn. An der Europäescher Unioun an anere Länner, aktivéiert DoH als Standard fir de Moment .
Nodeems Dir DoH aktivéiert hutt, gëtt eng Warnung dem Benotzer ugewisen, wat et erlaabt, wann Dir wëllt, ze refuséieren zentraliséiert DoH DNS Server ze kontaktéieren an zréck op dat traditionellt Schema fir onverschlësselte Ufroen op den DNS Server vum Provider ze schécken. Amplaz vun enger verdeeler Infrastruktur vun DNS Resolver, benotzt DoH eng Bindung un e spezifesche DoH Service, deen als eenzege Punkt vum Versoen ugesi ka ginn. De Moment gëtt d'Aarbecht duerch zwee DNS Ubidder ugebueden - CloudFlare (Standard) an .
Provider änneren oder DoH deaktivéieren an den Netzverbindungsastellungen. Zum Beispill kënnt Dir en alternativen DoH Server "https://dns.google/dns-query" spezifizéieren fir Zougang zu Google Serveren, "https://dns.quad9.net/dns-query" - Quad9 an "https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config bitt och d'Network.trr.mode-Astellung, duerch déi Dir den DoH-Operatiounsmodus änneren kann: e Wäert vun 0 deaktivéiert DoH komplett; 1 - DNS oder DoH gëtt benotzt, wat och ëmmer méi séier ass; 2 - DoH gëtt als Standard benotzt, an DNS gëtt als Réckfalloptioun benotzt; 3 - nëmmen DoH gëtt benotzt; 4 - Spigelmodus an deem DoH an DNS parallel benotzt ginn.
Loosst eis drun erënneren datt DoH nëtzlech ka sinn fir Leckage vun Informatioun iwwer déi ugefrote Hostnumm duerch d'DNS-Server vun de Fournisseuren ze vermeiden, MITM Attacken an DNS Traffic spoofing ze bekämpfen (zum Beispill wann Dir mat ëffentleche Wi-Fi verbënnt), géint Blockéierung am DNS Niveau (DoH kann net e VPN ersetzen am Beräich vum Contournement vun der Blockéierung um DPI Niveau implementéiert) oder fir d'Aarbecht ze organiséieren wann et onméiglech ass direkt Zougang zu DNS Serveren ze kréien (zum Beispill wann Dir duerch e Proxy schafft). Wann an enger normaler Situatioun DNS-Ufroen direkt un DNS-Server geschéckt ginn, déi an der Systemkonfiguratioun definéiert sinn, dann am Fall vun DoH, gëtt d'Ufro fir d'IP Adress vum Host ze bestëmmen an den HTTPS-Traffic encapsuléiert an op den HTTP-Server geschéckt, wou de Resolver veraarbecht. Ufroen iwwer de Web API. Déi existent DNSSEC Standard benotzt Verschlësselung nëmmen fir de Client an de Server ze authentifizéieren, awer schützt de Traffic net vun der Interceptioun a garantéiert net d'Vertraulechkeet vun den Ufroen.
Fir d'DoH Ubidder ze wielen, déi am Firefox ugebuede ginn, zu vertrauenswierdege DNS-Resolveren, no deenen den DNS-Bedreiwer d'Donnéeën, déi fir d'Resolutioun kritt goufen, nëmme benotze fir d'Operatioun vum Service ze garantéieren, däerf keng Logbicher fir méi wéi 24 Stonnen späicheren, d'Donnéeën net un Drëttpersounen transferéieren a verpflicht sinn d'Informatioun z'informéieren iwwer Datenveraarbechtungsmethoden. De Service muss och averstane sinn, den DNS-Traffic net ze zenséieren, ze filteren, ze stéieren oder ze blockéieren, ausser a Situatiounen, déi vum Gesetz virgesi sinn.
DoH soll mat Vorsicht benotzt ginn. Zum Beispill, an der russescher Federatioun, IP Adressen 104.16.248.249 an 104.16.249.249 verbonne mat dem Standard DoH Server mozilla.cloudflare-dns.com am Firefox ugebueden, в op Ufro vum Stavropol Geriicht vum 10.06.2013. Juni XNUMX.
DoH kann och Probleemer verursaachen a Beräicher wéi Elteren Kontrollsystemer, Zougang zu internen Nummraim a Firmesystemer, Streckauswiel an Inhalt Liwwerung Optimiséierungssystemer, a Konformitéit mat Geriichtsuerteeler am Beräich vun der Bekämpfung vun der Verdeelung vun illegalen Inhalter an der Ausbeutung vun Mannerjäregen. Fir esou Problemer ze ëmgoen, gouf e Schecksystem implementéiert a getest, deen DoH ënner bestëmmte Konditiounen automatesch deaktivéiert.
Fir Enterprise-Resolveren z'identifizéieren, ginn atypesch First-Level Domains (TLDs) gepréift an de System Resolver gëtt Intranetadressen zréck. Fir festzestellen, ob d'Elterekontrolle aktivéiert sinn, gëtt e Versuch gemaach, den Numm exampleadultsite.com ze léisen a wann d'Resultat net mat der aktueller IP entsprécht, gëtt ugeholl datt d'Blockéierung vun Erwuessene Inhalter um DNS-Niveau aktiv ass. Google an YouTube IP Adressen ginn och als Schëlder gepréift fir ze kucken ob se duerch restrict.youtube.com, forcesafesearch.google.com a restrictmoderate.youtube.com ersat goufen. Dës Kontrollen erlaaben Ugräifer, déi d'Operatioun vum Resolver kontrolléieren oder fäeg sinn mam Traffic ze stéieren, fir sou Verhalen ze simuléieren fir d'Verschlësselung vum DNS-Traffic auszeschalten.
D'Aarbecht duerch en eenzegen DoH Service kann och potenziell zu Probleemer mat der Trafficoptimiséierung an Inhaltsliwwerungsnetzwierker féieren, déi den Traffic mat DNS ausbalancéieren (den DNS-Server vum CDN-Netz generéiert eng Äntwert, déi d'Resolveradress berücksichtegt a bitt den nootste Host fir den Inhalt ze kréien). Wann Dir eng DNS-Ufro vum Resolver am nootste beim Benotzer an esou CDNs schéckt, gëtt d'Adress vum Host am nootste beim Benotzer zréckginn, awer eng DNS-Ufro vun engem zentraliséierte Resolver ze schécken wäert d'Hostadress am noosten dem DNS-over-HTTPS Server zréckginn. . Testen an der Praxis weisen datt d'Benotzung vun DNS-iwwer-HTTP beim Gebrauch vun engem CDN zu praktesch keng Verspéidungen virum Start vum Inhaltstransfer gefouert huet (fir séier Verbindungen hunn d'Verzögerungen net méi wéi 10 Millisekonnen, an nach méi séier Leeschtung gouf op luesen Kommunikatiounskanäl beobachtet ). D'Benotzung vun der EDNS Client Subnet Extensioun gouf och als Client Standuertinformatioun un den CDN Resolver ugesinn.
Source: opennet.ru