Firefox хөгжүүлэгчид АНУ-ын хэрэглэгчдийн хувьд анхдагчаар HTTPS дээр DNS (DoH, HTTPS гаруй DNS) горимыг идэвхжүүлэх тухай. DNS траффикийг шифрлэх нь хэрэглэгчдийг хамгаалах үндсэн чухал хүчин зүйл гэж тооцогддог. Өнөөдрөөс эхлэн АНУ-ын хэрэглэгчдийн хийсэн бүх шинэ суулгацууд анхдагчаар DoH идэвхжсэн байх болно. АНУ-ын одоогийн хэрэглэгчид хэдхэн долоо хоногийн дотор DoH-д шилжихээр төлөвлөж байна. Европын холбоо болон бусад орнуудад одоохондоо ЭМГ-ыг анхдагчаар идэвхжүүлнэ үү .
DoH-г идэвхжүүлсний дараа хэрэглэгчдэд анхааруулга гарч ирэх бөгөөд энэ нь хэрэв хүсвэл төвлөрсөн DoH DNS серверүүдтэй холбогдохоос татгалзаж, үйлчилгээ үзүүлэгчийн DNS сервер рүү шифрлэгдээгүй асуулга илгээх уламжлалт схем рүү буцах боломжийг олгоно. DNS шийдэгчийн тархсан дэд бүтцийн оронд ЭМГ нь тодорхой нэг DoH үйлчилгээтэй холбох хэрэгслийг ашигладаг бөгөөд үүнийг нэг алдаа гэж үзэж болно. Одоогийн байдлаар ажлыг CloudFlare (анхдагч) болон хоёр DNS үйлчилгээ үзүүлэгчээр дамжуулан санал болгож байна .
Үйлчилгээ үзүүлэгчийг өөрчлөх эсвэл DoH-г идэвхгүй болгох сүлжээний холболтын тохиргоонд. Жишээлбэл, та Google серверүүд, "https://dns.quad9.net/dns-query" - Quad9 болон "https:/"-д хандахын тулд "https://dns.google/dns-query" ЭМГ серверийг зааж өгч болно. /doh .opendns.com/dns-query" - OpenDNS. About:config нь мөн network.trr.mode тохиргоог өгдөг бөгөөд үүгээр дамжуулан та DoH үйлдлийн горимыг өөрчлөх боломжтой: 0 утга нь DoH-г бүрэн идэвхгүй болгодог; 1 - DNS эсвэл DoH ашигладаг, аль нь илүү хурдан байна; 2 - DoH-г анхдагч байдлаар ашигладаг бөгөөд DNS-ийг нөөц сонголт болгон ашигладаг; 3 - зөвхөн DoH ашигладаг; 4 - DoH болон DNS-ийг зэрэгцүүлэн ашигладаг толин тусгал хийх горим.
ЭМГ нь үйлчилгээ үзүүлэгчдийн DNS серверүүдээр дамжуулан хүссэн хостын нэрийн талаарх мэдээлэл алдагдахаас сэргийлэх, MITM халдлага болон DNS траффикийг хуурамчаар үйлдэх (жишээлбэл, нийтийн Wi-Fi-д холбогдох үед), DNS түвшинд блоклох (DoH) зэрэгт тустай гэдгийг санаарай. DPI түвшинд хэрэгждэг хаалтыг тойрч гарах хэсэгт VPN-ийг орлуулах боломжгүй) эсвэл DNS серверт шууд хандах боломжгүй тохиолдолд (жишээлбэл, прокси ашиглан ажиллах үед) ажлыг зохион байгуулахад зориулагдсан болно. Ихэвчлэн DNS хүсэлтийг системийн тохиргоонд тодорхойлсон DNS серверүүд рүү шууд илгээдэг бол DoH-ийн хувьд хостын IP хаягийг тодорхойлох хүсэлтийг HTTPS траффик дотор багтааж HTTP сервер рүү илгээдэг бөгөөд үүн дээр шийдвэрлэгч нь хүсэлтийг дамжуулан боловсруулдаг. вэб API. Одоогийн DNSSEC стандарт нь зөвхөн үйлчлүүлэгч болон серверийг баталгаажуулахын тулд шифрлэлтийг ашигладаг боловч траффикийг саатуулахаас хамгаалахгүй бөгөөд хүсэлтийн нууцлалыг баталгаажуулдаггүй.
Firefox дээр санал болгож буй DoH үйлчилгээ үзүүлэгчдийг сонгохын тулд, найдвартай DNS шийдлэгчид, үүний дагуу DNS оператор хүлээн авсан өгөгдлийг зөвхөн үйлчилгээний ажиллагааг хангахын тулд ашиглах боломжтой, бүртгэлийг 24 цагаас илүү хугацаагаар хадгалахгүй, гуравдагч этгээдэд өгөгдөл дамжуулах боломжгүй, мэдээллийг задруулах шаардлагатай. мэдээлэл боловсруулах аргын тухай. Мөн уг үйлчилгээ нь хуульд зааснаас бусад тохиолдолд DNS урсгалд цензур тавих, шүүх, хөндлөнгөөс оролцох, блоклохгүй байх үүрэгтэй.
DoH-ийг болгоомжтой хэрэглэх хэрэгтэй. Жишээлбэл, ОХУ-д Firefox дээр санал болгож буй mozilla.cloudflare-dns.com үндсэн DoH сервертэй холбоотой 104.16.248.249 ба 104.16.249.249 IP хаягууд, в 10.06.2013 оны XNUMX-р сарын XNUMX-ны өдрийн Ставрополийн шүүхийн хүсэлтээр.
Мөн ЭМГ нь эцэг эхийн хяналтын систем, корпорацийн систем дэх дотоод нэрийн орон зайд нэвтрэх, контентыг оновчтой болгох систем дэх маршрутын сонголт, хууль бус контент түгээх, ашиглахтай тэмцэх чиглэлээр шүүхийн шийдвэрийг биелүүлэх зэрэг асуудлуудыг үүсгэж болно. насанд хүрээгүй хүүхдүүд. Иймэрхүү бэрхшээлээс зайлсхийхийн тулд тодорхой нөхцөлд DoH-ийг автоматаар идэвхгүй болгодог хяналтын системийг нэвтрүүлж, туршсан.
Байгууллагын шийдэгчдийг тодорхойлохын тулд ердийн бус эхний түвшний домайнуудыг (TLDs) шалгаж, системийн шийдүүлэгч нь дотоод сүлжээний хаягуудыг буцаана. Эцэг эхийн хяналтыг идэвхжүүлсэн эсэхийг тодорхойлохын тулд exampleadultsite.com нэрийг шийдэх оролдлого хийж, үр дүн нь бодит IP-тэй тохирохгүй байвал DNS түвшинд насанд хүрэгчдийн контентыг хориглох ажиллагаа идэвхтэй байна гэж үзнэ. Google болон YouTube-ийн IP хаягууд нь хязгаарлалт.youtube.com, forcesafesearch.google.com болон хязгаарлалтmoderate.youtube.com хаягаар солигдсон эсэхийг шалгах тэмдэг болгон шалгадаг. Эдгээр шалгалтууд нь шийдэгчийн ажиллагааг хянадаг эсвэл урсгалд саад учруулах чадвартай халдагчдад DNS траффикийн шифрлэлтийг идэвхгүй болгохын тулд ийм зан үйлийг дуурайлган хийх боломжийг олгодог.
Нэг ЭМГ-ын үйлчилгээгээр дамжуулан ажиллах нь DNS ашиглан траффикийг тэнцвэржүүлдэг контент дамжуулах сүлжээн дэх урсгалыг оновчтой болгоход асуудал үүсгэж болзошгүй (CDN сүлжээний DNS сервер нь шийдвэрлэх хаягийг харгалзан хариуг үүсгэж, контентыг хүлээн авахад хамгийн ойрын хостоор хангадаг). Ийм CDN-д байгаа хэрэглэгчтэй хамгийн ойр байгаа шийдвэрлэхлэгчээс DNS асуулга илгээснээр хэрэглэгчтэй хамгийн ойр байгаа хостын хаягийг буцаах боловч төвлөрсөн шийдүүлэгчээс DNS асуулга илгээх нь DNS-over-HTTPS сервертэй хамгийн ойр байгаа хост хаягийг буцаана. . Практикт хийсэн туршилтууд нь CDN-г ашиглах үед DNS-over-HTTP ашиглах нь контент дамжуулах эхлэхээс өмнө бараг ямар ч саатал үүсгэдэггүй болохыг харуулсан (хурдан холболтын хувьд саатал 10 миллисекундээс хэтрэхгүй, харилцаа холбооны удаашралтай сувгууд дээр илүү хурдан гүйцэтгэл ажиглагдсан) ). EDNS Client Subnet өргөтгөлийг ашиглах нь CDN шийдүүлэгч рүү үйлчлүүлэгчийн байршлын мэдээллийг өгөхийн тулд мөн авч үзсэн.
Эх сурвалж: opennet.ru