Firefox Entwéckler iwwer d'Fäerdegstellung vun der Testunterstëtzung fir DNS iwwer HTTPS (DoH, DNS iwwer HTTPS) an d'Intent dës Technologie als Standard fir US Benotzer Enn September z'erméiglechen. D'Aktivatioun gëtt progressiv duerchgefouert, ufanks fir e puer Prozent vun de Benotzer, a wann et keng Problemer gëtt, graduell erop op 100%. Wann d'USA ofgedeckt sinn, gëtt DoH fir Inklusioun an anere Länner berücksichtegt.
Tester, déi am ganze Joer duerchgefouert goufen, hunn d'Zouverlässegkeet an d'gutt Leeschtung vum Service gewisen, an hunn et och méiglech gemaach e puer Situatiounen z'identifizéieren, wou DoH zu Probleemer féieren kann an Léisungen entwéckelen fir se z'ënnerhalen (zum Beispill ofgebauten mat Traffic Optimisatioun an Inhalt Liwwerung Netzwierker, Elteren Kontrollen a Firmen intern DNS Zonen).
D'Wichtegkeet vum Verschlësselung vum DNS-Traffic gëtt als grondleeënd wichtege Faktor beurteelt fir d'Benotzer ze schützen, sou datt et decidéiert gouf DoH als Standard z'aktivéieren, awer op der éischter Etapp nëmme fir Benotzer aus den USA. Nodeems Dir DoH aktivéiert hutt, kritt de Benotzer eng Warnung déi et erlaabt, wann Dir wëllt, ze refuséieren zentraliséiert DoH DNS Server ze kontaktéieren an zréck op dat traditionellt Schema fir onverschlësselte Ufroen un den DNS Server vum Provider ze schécken (amplaz vun enger verdeeler Infrastruktur vun DNS Resolvers, DoH benotzt Bindung un e spezifesche DoH Service, deen als eenzege Punkt vum Echec ugesi ka ginn).
Wann DoH aktivéiert ass, kënnen Elteren Kontrollsystemer a Firmennetzwierker, déi d'intern Netz-nëmmen DNS-Nummstruktur benotzen fir Intranetadressen a Firmenhoster ze léisen, gestéiert ginn. Fir Problemer mat esou Systemer ze léisen, gouf e Kontrollsystem bäigefüügt, deen DoH automatesch deaktivéiert. Kontrollen ginn all Kéier wann de Browser lancéiert gëtt oder wann e Subnet Changement festgestallt gëtt.
En automatesche Retour fir de Standardbetribssystemléiser ze benotzen gëtt och zur Verfügung gestallt wann Feeler während der Resolutioun iwwer DoH optrieden (zum Beispill wann d'Netzverfügbarkeet mam DoH Provider gestéiert gëtt oder Feeler a senger Infrastruktur optrieden). D'Bedeitung vun esou Kontrollen ass zweifelhaft, well keen verhënnert datt Ugräifer, déi d'Operatioun vum Resolver kontrolléieren oder fäeg sinn de Traffic ze stéieren, ähnlech Verhalen ze simuléieren fir d'Verschlësselung vum DNS-Traffic auszeschalten. De Problem gouf geléist andeems den Element "DoH ëmmer" an d'Astellunge bäigefüügt gouf (roueg inaktiv), wann se agestallt ass, gëtt automatesch Ausschaltung net ugewannt, wat e vernünfteg Kompromiss ass.
Fir Enterprise-Resolveren z'identifizéieren, ginn atypesch First-Level Domains (TLDs) gepréift an de System Resolver gëtt Intranetadressen zréck. Fir festzestellen, ob d'Elterekontrolle aktivéiert sinn, gëtt e Versuch gemaach, den Numm exampleadultsite.com ze léisen a wann d'Resultat net mat der aktueller IP entsprécht, gëtt ugeholl datt d'Blockéierung vun Erwuessene Inhalter um DNS-Niveau aktiv ass. Google an YouTube IP Adressen ginn och als Schëlder gepréift fir ze kucken ob se duerch restrict.youtube.com, forcesafesearch.google.com a restrictmoderate.youtube.com ersat goufen. Zousätzlech Mozilla en eenzegen Testhost implementéieren , déi ISPs an Elteren Kontroll Servicer als Fändel benotze fir DoH auszeschalten (wann de Host net festgestallt gëtt, deaktivéiert Firefox DoH).
D'Aarbecht duerch en eenzegen DoH Service kann och potenziell zu Probleemer mat der Trafficoptimiséierung an Inhaltsliwwerungsnetzwierker féieren, déi den Traffic mat DNS ausbalancéieren (den DNS-Server vum CDN-Netz generéiert eng Äntwert, déi d'Resolveradress berücksichtegt a bitt den nootste Host fir den Inhalt ze kréien). Wann Dir eng DNS-Ufro vum Resolver am nootste beim Benotzer an esou CDNs schéckt, gëtt d'Adress vum Host am nootste beim Benotzer zréckginn, awer eng DNS-Ufro vun engem zentraliséierte Resolver ze schécken wäert d'Hostadress am noosten dem DNS-over-HTTPS Server zréckginn. . Testen an der Praxis weisen datt d'Benotzung vun DNS-iwwer-HTTP beim Gebrauch vun engem CDN zu praktesch keng Verspéidungen virum Start vum Inhaltstransfer gefouert huet (fir séier Verbindungen hunn d'Verzögerungen net méi wéi 10 Millisekonnen, an nach méi séier Leeschtung gouf op luesen Kommunikatiounskanäl beobachtet ). D'Benotzung vun der EDNS Client Subnet Extensioun gouf och als Client Standuertinformatioun un den CDN Resolver ugesinn.
Loosst eis drun erënneren datt DoH nëtzlech ka sinn fir Leckage vun Informatioun iwwer déi ugefrote Hostnamen duerch d'DNS-Server vu Fournisseuren ze vermeiden, MITM Attacken a Spoofing vum DNS-Traffic ze bekämpfen, Blockéierungen um DNS-Niveau ze bekämpfen oder d'Aarbecht ze organiséieren am Fall wou et ass onméiglech fir direkt Zougang zu DNS Serveren ze kréien (zum Beispill wann Dir duerch e Proxy schafft). Wann an enger normaler Situatioun DNS-Ufroen direkt un DNS-Server geschéckt ginn, déi an der Systemkonfiguratioun definéiert sinn, dann am Fall vun DoH, ass d'Ufro fir d'IP Adress vum Host ze bestëmmen an den HTTPS-Traffic encapsuléiert an op den HTTP-Server geschéckt, wou de Resolver veraarbecht. Ufroen iwwer de Web API. Déi existent DNSSEC Norm benotzt Verschlësselung nëmmen fir de Client an de Server ze authentifizéieren, awer schützt de Traffic net virun der Interceptioun a garantéiert net d'Vertraulechkeet vun den Ufroen.
Fir DoH an about:config z'aktivéieren, musst Dir de Wäert vun der variabler network.trr.mode änneren, déi zanter Firefox ënnerstëtzt gouf 60. E Wäert vun 0 deaktivéiert DoH komplett; 1 - DNS oder DoH gëtt benotzt, wat och ëmmer méi séier ass; 2 - DoH gëtt als Standard benotzt, an DNS gëtt als Réckfalloptioun benotzt; 3 - nëmmen DoH gëtt benotzt; 4 - Spigelmodus an deem DoH an DNS parallel benotzt ginn. Par défaut gëtt de CloudFlare DNS-Server benotzt, awer et kann duerch de parameter network.trr.uri geännert ginn, zum Beispill kënnt Dir "https://dns.google.com/experimental" oder "https://9.9.9.9" setzen .XNUMX/dns-query "
Source: opennet.ru