Firefox хөгжүүлэгчид HTTPS (DoH, HTTPS дээгүүр DNS)-ийн DNS-ийн дэмжлэгийг туршиж дууссан тухай болон 100-р сарын сүүлчээр АНУ-ын хэрэглэгчдэд энэ технологийг анхдагчаар идэвхжүүлэх тухай. Идэвхжүүлэлтийг эхлээд хэрэглэгчдийн цөөхөн хувьд нь аажмаар хийх бөгөөд хэрэв асуудал гарахгүй бол аажмаар XNUMX% хүртэл нэмэгдэнэ. АНУ хамрагдсаны дараа ЭМГ-ыг бусад улс орнуудад хамруулах талаар авч үзэх болно.
Жилийн туршид хийсэн туршилтууд нь үйлчилгээний найдвартай байдал, сайн гүйцэтгэлийг харуулсан бөгөөд ЭМГ-аас асуудал үүсгэж болзошгүй зарим нөхцөл байдлыг тодорхойлж, тэдгээрийг арилгах шийдлийг боловсруулах боломжтой болсон (жишээлбэл, задалсан). контент хүргэх сүлжээ, эцэг эхийн хяналт, корпорацийн дотоод DNS бүс дэх замын хөдөлгөөний оновчлолтой).
DNS траффикийг шифрлэхийн ач холбогдлыг хэрэглэгчдийг хамгаалах үндсэн хүчин зүйл гэж үнэлдэг тул DoH-г анхдагчаар идэвхжүүлэхээр шийдсэн боловч эхний шатанд зөвхөн АНУ-ын хэрэглэгчдэд зориулагдсан болно. DoH-г идэвхжүүлсний дараа хэрэглэгч хэрэв хүсвэл төвлөрсөн ЭМГ-ын DNS серверүүдтэй холбогдохоос татгалзаж, үйлчилгээ үзүүлэгчийн DNS сервер рүү шифрлэгдээгүй хүсэлт илгээх уламжлалт схем рүү буцах боломжтой анхааруулга хүлээн авах болно (DNS шийдүүлэгчийн тархсан дэд бүтцийн оронд, ЭМГ нь тодорхой нэг ЭМГ-ын үйлчилгээтэй холбоотой холболтыг ашигладаг бөгөөд үүнийг нэг алдаа гэж үзэж болно).
Хэрэв DoH идэвхжсэн бол дотоод сүлжээний хаягууд болон корпорацийн хостуудыг шийдвэрлэхийн тулд зөвхөн дотоод сүлжээний DNS нэрийн бүтцийг ашигладаг эцэг эхийн хяналтын систем болон корпорацийн сүлжээнүүд эвдэрч болзошгүй. Ийм системтэй холбоотой асуудлыг шийдэхийн тулд DoH-ийг автоматаар идэвхгүй болгодог хяналтын системийг нэмж оруулсан болно. Хөтчийг эхлүүлэх эсвэл дэд сүлжээний өөрчлөлт илэрсэн үед шалгалтыг хийдэг.
DoH-ээр дамжуулан шийдвэрлэх явцад алдаа гарсан тохиолдолд (жишээлбэл, ЭМГ-ын үйлчилгээ үзүүлэгчийн сүлжээ тасалдсан эсвэл дэд бүтцэд нь доголдол гарсан тохиолдолд) стандарт үйлдлийн систем шийдэгчийг ашиглахад автоматаар буцах боломжтой. Шийдвэрлэгчийн ажиллагааг хянадаг эсвэл траффикд саад учруулах чадвартай халдагчдыг DNS траффикийн шифрлэлтийг идэвхгүй болгохын тулд ижил төстэй зан үйлийг дуурайлган хийхээс хэн ч сэргийлдэггүй тул ийм шалгалтын утга нь эргэлзээтэй юм. Тохиргоонд "DoH үргэлж" гэсэн зүйлийг нэмснээр асуудлыг шийдсэн (чимээгүй идэвхгүй), тохируулсан үед автомат унтрах боломжгүй бөгөөд энэ нь боломжийн буулт юм.
Байгууллагын шийдэгчдийг тодорхойлохын тулд ердийн бус эхний түвшний домайнуудыг (TLDs) шалгаж, системийн шийдвэрлэгч нь дотоод сүлжээний хаягуудыг буцаана. Эцэг эхийн хяналтыг идэвхжүүлсэн эсэхийг тодорхойлохын тулд exampleadultsite.com нэрийг шийдэх оролдлого хийж, үр дүн нь бодит IP-тэй тохирохгүй байвал DNS түвшинд насанд хүрэгчдийн контентыг хориглох ажиллагаа идэвхтэй байна гэж үзнэ. Google болон YouTube-ийн IP хаягууд нь хязгаарлалт.youtube.com, forcesafesearch.google.com болон хязгаарлалтmoderate.youtube.com хаягаар солигдсон эсэхийг шалгах тэмдэг болгон шалгадаг. Нэмэлт Mozilla нэг туршилтын хостыг хэрэгжүүлэх , ISP болон эцэг эхийн хяналтын үйлчилгээнүүд DoH-г идэвхгүй болгохын тулд туг болгон ашиглаж болно (хэрэв хост илрээгүй бол Firefox DoH-г идэвхгүй болгодог).
Нэг ЭМГ-ын үйлчилгээгээр дамжуулан ажиллах нь DNS ашиглан траффикийг тэнцвэржүүлдэг контент дамжуулах сүлжээн дэх урсгалыг оновчтой болгоход асуудал үүсгэж болзошгүй (CDN сүлжээний DNS сервер нь шийдвэрлэх хаягийг харгалзан хариуг үүсгэж, контентыг хүлээн авахад хамгийн ойрын хостоор хангадаг). Ийм CDN-д байгаа хэрэглэгчтэй хамгийн ойр байгаа шийдвэрлэхлэгчээс DNS асуулга илгээснээр хэрэглэгчтэй хамгийн ойр байгаа хостын хаягийг буцаах боловч төвлөрсөн шийдүүлэгчээс DNS асуулга илгээх нь DNS-over-HTTPS сервертэй хамгийн ойр байгаа хост хаягийг буцаана. . Практикт хийсэн туршилтууд нь CDN-г ашиглах үед DNS-over-HTTP ашиглах нь контент дамжуулах эхлэхээс өмнө бараг ямар ч саатал үүсгэдэггүй болохыг харуулсан (хурдан холболтын хувьд саатал 10 миллисекундээс хэтрэхгүй, харилцаа холбооны удаашралтай сувгууд дээр илүү хурдан гүйцэтгэл ажиглагдсан) ). EDNS Client Subnet өргөтгөлийг ашиглах нь CDN шийдүүлэгч рүү үйлчлүүлэгчийн байршлын мэдээллийг өгөхийн тулд мөн авч үзсэн.
ЭМГ нь үйлчилгээ үзүүлэгчдийн DNS серверээр дамжуулан хүссэн хостын нэрсийн талаарх мэдээлэл алдагдахаас урьдчилан сэргийлэх, MITM халдлага болон DNS траффикийг хууран мэхлэхтэй тэмцэх, DNS түвшинд блоклохыг эсэргүүцэх, эсвэл ийм тохиолдол гарсан тохиолдолд ажлыг зохион байгуулахад тустай гэдгийг сануулъя. DNS серверт шууд хандах боломжгүй (жишээлбэл, прокси ашиглан ажиллах үед). Хэрэв ердийн нөхцөлд DNS хүсэлтийг системийн тохиргоонд тодорхойлсон DNS серверүүд рүү шууд илгээдэг бол DoH-ийн хувьд хостын IP хаягийг тодорхойлох хүсэлтийг HTTPS траффик дотор багтааж, шийдүүлэгч боловсруулдаг HTTP сервер рүү илгээдэг. Web API-ээр дамжуулан хүсэлт. Одоо байгаа DNSSEC стандарт нь зөвхөн үйлчлүүлэгч болон серверийг баталгаажуулахын тулд шифрлэлтийг ашигладаг боловч траффикийг саатуулахаас хамгаалахгүй бөгөөд хүсэлтийн нууцлалыг баталгаажуулдаггүй.
About:config дотор DoH-г идэвхжүүлэхийн тулд та Firefox 60-аас хойш дэмжигдсэн network.trr.mode хувьсагчийн утгыг өөрчлөх ёстой. 0 утга нь DoH-г бүрэн идэвхгүй болгодог; 1 - DNS эсвэл DoH ашигладаг, аль нь илүү хурдан байна; 2 - DoH-г анхдагч байдлаар ашигладаг бөгөөд DNS-ийг нөөц сонголт болгон ашигладаг; 3 - зөвхөн DoH ашигладаг; 4 - DoH болон DNS-ийг зэрэгцүүлэн ашигладаг толин тусгал хийх горим. Анхдагч байдлаар, CloudFlare DNS серверийг ашигладаг боловч үүнийг network.trr.uri параметрээр дамжуулан өөрчлөх боломжтой, жишээлбэл, та "https://dns.google.com/experimental" эсвэл "https://9.9.9.9" тохируулж болно. .XNUMX/dns-асуулга "
Эх сурвалж: opennet.ru