Firefox Developers momba ny fahavitan'ny fitiliana fanohanana DNS amin'ny HTTPS (DoH, DNS amin'ny HTTPS) sy ny fikasana hamela an'io teknolojia io ho an'ny mpampiasa amerikana amin'ny faran'ny volana septambra. Ny fampahavitrihana dia hatao tsikelikely, amin'ny voalohany ho an'ny isan-jaton'ny mpampiasa, ary raha tsy misy olana, mitombo tsikelikely ho 100%. Raha vao voarakotra ny Etazonia, dia heverina ho ampidirina any amin'ny firenena hafa ny DoH.
Ny fitsapana natao nandritra ny taona dia nampiseho ny fahamendrehana sy ny fahombiazan'ny serivisy, ary nahafahana namantatra ny toe-javatra sasany izay mety hiteraka olana ny DoH ary mamolavola vahaolana hialana amin'izany (ohatra, voaravaka. miaraka amin'ny fanatsarana ny fifamoivoizana amin'ny tambajotra fanaterana votoaty, ny fanaraha-maso ataon'ny ray aman-dreny ary ny faritra DNS anatiny ao amin'ny orinasa).
Ny maha-zava-dehibe ny fanafenana ny fifamoivoizana DNS dia tombanana ho lafin-javatra manan-danja indrindra amin'ny fiarovana ny mpampiasa, ka nanapa-kevitra ny hamela ny DoH amin'ny alàlan'ny default, fa tamin'ny dingana voalohany dia ho an'ny mpampiasa avy any Etazonia ihany. Aorian'ny fampahavitrihana ny DoH dia hahazo fampitandremana ny mpampiasa izay hamela, raha tiana, handà tsy hifandray amin'ireo mpizara DNS DoH foibe ary hiverina amin'ny tetika nentim-paharazana amin'ny fandefasana fangatahana tsy misy miafina any amin'ny mpizara DNS an'ny mpamatsy (fa tsy fotodrafitrasa zaraina ho an'ny mpamadika DNS, Ny DoH dia mampiasa famatorana amin'ny serivisy DoH manokana, izay azo raisina ho teboka tokana tsy nahomby).
Raha ahetsiketsika ny DoH, dia mety ho voahelingelina ny rafitra fanaraha-maso ny ray aman-dreny sy ny tambajotran'orinasa izay mampiasa ny rafitry ny anaran'ny DNS amin'ny tambajotra anatiny mba hamahana ny adiresy intranet sy ny mpampiantrano orinasa. Mba hamahana ny olana amin'ny rafitra toy izany, dia nampiana rafitra fanaraha-maso izay manakana ho azy ny DoH. Ny fisavana dia atao isaky ny mandeha ny navigateur na rehefa hita fa misy fiovana subnet.
Ny fiverenana mandeha ho azy amin'ny fampiasana ny famahana ny rafitra miasa manara-penitra dia omena ihany koa raha misy ny tsy fahombiazana mandritra ny famahana amin'ny alalan'ny DoH (ohatra, raha tapaka ny fisian'ny tambajotra miaraka amin'ny mpamatsy DoH na misy tsy fahombiazana eo amin'ny fotodrafitrasany). Ny dikan'ny fisavana toy izany dia mampametra-panontaniana, satria tsy misy manakana ireo mpanafika izay mifehy ny fiasan'ny solver na afaka manelingelina ny fifamoivoizana amin'ny fanaovana simulation mitovy amin'izany mba hanesorana ny encryption ny fifamoivoizana DNS. Voavaha ny olana tamin'ny fampidirana ny singa "DoH foana" amin'ny fikandrana (tsy mavitrika mangina), rehefa napetraka dia tsy ampiharina ny fanakatonana mandeha ho azy, izay marimaritra iraisana.
Mba hamantarana ny orinasa solvers, atypical first-level domains (TLDs) dia voamarina ary ny rafitra solver dia mamerina ny adiresy intranet. Mba hamaritana raha azo atao ny fanaraha-maso ataon'ny ray aman-dreny, dia andrana hamaha ny anarana exampleadultsite.com ary raha tsy mifanaraka amin'ny IP tena izy ny valiny, dia heverina fa mavitrika amin'ny ambaratonga DNS ny fanakanana votoaty olon-dehibe. Ny adiresy IP Google sy YouTube dia voamarika ihany koa ho famantarana raha nosoloina restrict.youtube.com, forcesafesearch.google.com ary restrictmoderate.youtube.com. Mozilla fanampiny mampihatra mpampiantrano fitsapana tokana , izay azon'ny ISP sy ny serivisy fanaraha-maso ny ray aman-dreny ampiasaina ho saina hanakanana ny DoH (raha tsy hita ny mpampiantrano dia esorin'i Firefox ny DoH).
Ny fiasana amin'ny serivisy DoH tokana dia mety hiteraka olana amin'ny fanatsarana ny fifamoivoizana amin'ny tambajotra fanaterana votoaty izay mampifandanja ny fifamoivoizana amin'ny alàlan'ny DNS (mamoaka valiny ny mpizara DNS an'ny tambajotra CDN, amin'ny fiheverana ny adiresin'ny famahana ary manome ny mpampiantrano akaiky indrindra handray ny votoaty) . Ny fandefasana fanontaniana DNS avy amin'ny mpanapa-kevitra akaiky indrindra amin'ny mpampiasa amin'ny CDN toy izany dia miteraka fiverenana ny adiresin'ny mpampiantrano akaiky indrindra amin'ny mpampiasa, fa ny fandefasana fanontaniana DNS avy amin'ny solver afovoany dia hamerina ny adiresy mpampiantrano akaiky indrindra amin'ny mpizara DNS-over-HTTPS. . Ny fitsapana amin'ny fampiharana dia naneho fa ny fampiasana DNS-over-HTTP rehefa mampiasa CDN dia nitarika ho amin'ny tsy misy fahatarana alohan'ny hanombohan'ny famindrana votoaty (ho an'ny fifandraisana haingana, ny fahatarana dia tsy mihoatra ny 10 milisegondra, ary na dia ny fampisehoana haingana kokoa aza dia hita tamin'ny fantsom-pifandraisana miadana. ). Ny fampiasana ny fanitarana EDNS Client Subnet dia noheverina ihany koa mba hanomezana fampahalalana momba ny toerana misy ny mpanjifa amin'ny CDN solver.
Aoka hotsaroantsika fa ny DoH dia mety ilaina amin'ny fisorohana ny fiparitahan'ny vaovao momba ny anaran'ny mpampiantrano nangatahana amin'ny alàlan'ny mpizara DNS an'ny mpamatsy, ny ady amin'ny fanafihan'ny MITM sy ny fandokoana ny fifamoivoizana DNS, ny fanoherana ny fanakanana amin'ny ambaratonga DNS, na ny fandaminana asa raha toa ka misy izany. Tsy azo atao ny miditra mivantana amin'ny mpizara DNS (ohatra, rehefa miasa amin'ny proxy). Raha amin'ny toe-javatra mahazatra, ny fangatahana DNS dia alefa mivantana any amin'ireo mpizara DNS voafaritra ao amin'ny rafitry ny rafitra, amin'ny raharaha DoH, ny fangatahana hamaritana ny adiresy IP an'ny mpampiantrano dia voarakitra ao amin'ny fifamoivoizana HTTPS ary alefa any amin'ny mpizara HTTP, izay misy ny fizotran'ny solver. fangatahana amin'ny alàlan'ny Web API. Ny fenitra DNSSEC efa misy dia mampiasa encryption fotsiny mba hanamarinana ny mpanjifa sy ny mpizara, fa tsy miaro ny fifamoivoizana amin'ny fisakanana ary tsy miantoka ny tsiambaratelon'ny fangatahana.
Mba hahafahan'ny DoH ao amin'ny about:config, dia tsy maintsy manova ny sandan'ny tambajotra.trr.mode variable ianao, izay notohanana hatramin'ny Firefox 60. Ny sanda 0 dia manakana tanteraka ny DoH; 1 - DNS na DoH no ampiasaina, izay haingana kokoa; 2 - DoH dia ampiasaina amin'ny alàlan'ny default, ary DNS dia ampiasaina ho safidy miverina; 3 - DoH ihany no ampiasaina; 4 - fomba fitaratra izay ampiasan'ny DoH sy DNS mifanitsy. Amin'ny alàlan'ny default dia ampiasaina ny mpizara DNS CloudFlare, saingy azo ovaina amin'ny alàlan'ny parameter network.trr.uri, ohatra, azonao atao ny mametraka "https://dns.google.com/experimental" na "https://9.9.9.9". .XNUMX/dns-query "
Source: opennet.ru