Firefox Developers momba ny fampandehanana ny DNS amin'ny alàlan'ny HTTPS (DoH, DNS amin'ny HTTPS) amin'ny alàlan'ny default ho an'ny mpampiasa amerikana. Ny encryption ny fifamoivoizana DNS dia heverina ho lafin-javatra manan-danja amin'ny fiarovana ny mpampiasa. Manomboka anio, ny fametrahana vaovao rehetra ataon'ny mpampiasa amerikana dia hanana DoH ho alefa amin'ny alàlan'ny default. Ireo mpampiasa amerikanina efa misy dia voalahatra hifindra any amin'ny DoH ao anatin'ny herinandro vitsivitsy. Any amin'ny Vondrona Eoropeana sy any amin'ny firenena hafa, ampio ny DoH amin'ny alàlan'ny default .
Aorian'ny fampahavitrihana ny DoH, misy fampitandremana aseho amin'ny mpampiasa, izay mamela, raha tiana, ny mandà tsy hifandray amin'ireo mpizara DNS DoH afovoany ary hiverina amin'ny tetika nentim-paharazana amin'ny fandefasana fanontaniana tsy voafehy amin'ny mpizara DNS an'ny mpamatsy. Raha tokony ho foto-drafitrasa zaraina ho an'ny famahana ny DNS, ny DoH dia mampiasa fatorana amin'ny serivisy DoH manokana, izay azo heverina ho teboka tokana tsy nahomby. Amin'izao fotoana izao, ny asa dia atolotra amin'ny alàlan'ny mpamatsy DNS roa - CloudFlare (default) ary .
Ovay ny mpamatsy na esory ny DoH ao amin'ny firafitry ny fifandraisana amin'ny tambajotra. Ohatra, azonao atao ny mamaritra mpizara DoH hafa "https://dns.google/dns-query" mba hidirana amin'ireo mpizara Google, "https://dns.quad9.net/dns-query" - Quad9 ary "https:/ /doh .opendns.com/dns-query" - OpenDNS. Momba ny:config dia manome ihany koa ny firafitry ny network.trr.mode, izay ahafahanao manova ny fomba fiasan'ny DoH: ny sandan'ny 0 dia manakana tanteraka ny DoH; 1 - DNS na DoH no ampiasaina, izay haingana kokoa; 2 - DoH dia ampiasaina amin'ny alàlan'ny default, ary DNS dia ampiasaina ho safidy miverina; 3 - DoH ihany no ampiasaina; 4 - fomba fitaratra izay ampiasan'ny DoH sy DNS mifanitsy.
Aoka hotsaroantsika fa ny DoH dia mety ilaina amin'ny fisorohana ny fiparitahan'ny vaovao momba ny anaran'ny mpampiantrano nangatahana amin'ny alàlan'ny mpizara DNS an'ny mpamatsy, ny ady amin'ny fanafihana MITM sy ny fanodikodinana fifamoivoizana DNS (ohatra, rehefa mifandray amin'ny Wi-Fi ho an'ny daholobe), manohitra ny fanakanana ny DNS. level (Tsy afaka manolo VPN ny DoH eo amin'ny sehatry ny fanakanana izay ampiharina amin'ny ambaratonga DPI) na amin'ny fandaminana asa raha tsy azo atao ny miditra mivantana amin'ny mpizara DNS (ohatra, rehefa miasa amin'ny proxy). Raha amin'ny toe-javatra mahazatra, ny fangatahana DNS dia alefa mivantana any amin'ireo mpizara DNS voafaritra ao amin'ny rafitry ny rafitra, amin'ny raharaha DoH, ny fangatahana hamaritana ny adiresy IP an'ny mpampiantrano dia voarakitra ao amin'ny fifamoivoizana HTTPS ary alefa any amin'ny mpizara HTTP, izay misy ny fizotran'ny solver. fangatahana amin'ny alàlan'ny Web API. Ny fenitra DNSSEC efa misy dia mampiasa encryption fotsiny mba hanamarinana ny mpanjifa sy ny mpizara, fa tsy miaro ny fifamoivoizana amin'ny fisakanana ary tsy miantoka ny tsiambaratelon'ny fangatahana.
Raha hisafidianana ireo mpamatsy DoH atolotra ao amin'ny Firefox, ho an'ny mpamaritra DNS azo itokisana, izay ahafahan'ny mpandraharaha DNS mampiasa ny angon-drakitra voaray ho famahana fotsiny mba hiantohana ny fampandehanan'ny serivisy, tsy tokony hitahiry logs mihoatra ny 24 ora, tsy afaka mamindra angona amin'ny antoko fahatelo ary tsy maintsy manambara vaovao momba ny fomba fanodinana angona. Tsy maintsy manaiky ihany koa ny serivisy fa tsy hanivana, hanivana, hitsabaka na hanakana ny fifamoivoizana DNS, afa-tsy amin'ny toe-javatra voafaritry ny lalàna.
Tokony hampiasaina amim-pitandremana ny DoH. Ohatra, ao amin'ny Federasiona Rosiana, ny adiresy IP 104.16.248.249 sy 104.16.249.249 mifandray amin'ny mpizara DoH default mozilla.cloudflare-dns.com atolotra ao amin'ny Firefox, в noho ny fangatahan'ny fitsarana Stavropol tamin'ny 10.06.2013 Jona XNUMX.
Ny DoH dia mety hiteraka olana amin'ny sehatra toy ny rafitra fanaraha-maso ny ray aman-dreny, ny fidirana amin'ny anaran'ny orinasa anatiny ao amin'ny rafitra orinasa, ny fifantenana ny lalana amin'ny rafitra fanaterana votoaty, ary ny fanarahana ny baikon'ny fitsarana amin'ny ady amin'ny fizarana votoaty tsy ara-dalàna sy ny fitrandrahana ny zaza tsy ampy taona. Mba hialana amin'ny olana toy izany, dia nisy rafitra fanamarinana nampiharina sy nosedraina izay manakana ho azy ny DoH amin'ny fepetra sasany.
Mba hamantarana ny orinasa solvers, atypical first-level domains (TLDs) dia voamarina ary ny rafitra solver dia mamerina ny adiresy intranet. Mba hamaritana raha azo atao ny fanaraha-maso ataon'ny ray aman-dreny, dia andrana hamaha ny anarana exampleadultsite.com ary raha tsy mifanaraka amin'ny IP tena izy ny valiny, dia heverina fa mavitrika amin'ny ambaratonga DNS ny fanakanana votoaty olon-dehibe. Ny adiresy IP Google sy YouTube dia voamarika ihany koa ho famantarana raha nosoloina restrict.youtube.com, forcesafesearch.google.com ary restrictmoderate.youtube.com. Ireo fisavana ireo dia ahafahan'ny mpanafika manara-maso ny fiasan'ny solver na afaka mitsabaka amin'ny fifamoivoizana mba haka tahaka ny fihetsika toy izany mba hanesorana ny fanafenana ny fifamoivoizana DNS.
Ny fiasana amin'ny serivisy DoH tokana dia mety hiteraka olana amin'ny fanatsarana ny fifamoivoizana amin'ny tambajotra fanaterana votoaty izay mampifandanja ny fifamoivoizana amin'ny alàlan'ny DNS (mamoaka valiny ny mpizara DNS an'ny tambajotra CDN, amin'ny fiheverana ny adiresin'ny famahana ary manome ny mpampiantrano akaiky indrindra handray ny votoaty) . Ny fandefasana fanontaniana DNS avy amin'ny mpanapa-kevitra akaiky indrindra amin'ny mpampiasa amin'ny CDN toy izany dia miteraka fiverenana ny adiresin'ny mpampiantrano akaiky indrindra amin'ny mpampiasa, fa ny fandefasana fanontaniana DNS avy amin'ny solver afovoany dia hamerina ny adiresy mpampiantrano akaiky indrindra amin'ny mpizara DNS-over-HTTPS. . Ny fitsapana amin'ny fampiharana dia naneho fa ny fampiasana DNS-over-HTTP rehefa mampiasa CDN dia nitarika ho amin'ny tsy misy fahatarana alohan'ny hanombohan'ny famindrana votoaty (ho an'ny fifandraisana haingana, ny fahatarana dia tsy mihoatra ny 10 milisegondra, ary na dia ny fampisehoana haingana kokoa aza dia hita tamin'ny fantsom-pifandraisana miadana. ). Ny fampiasana ny fanitarana EDNS Client Subnet dia noheverina ihany koa mba hanomezana fampahalalana momba ny toerana misy ny mpanjifa amin'ny CDN solver.
Source: opennet.ru