Iżviluppaturi Firefox
Wara l-attivazzjoni tad-DoH, tintwera twissija lill-utent, li tippermetti, jekk mixtieq, li jirrifjuta li jikkuntattja servers DNS DoH ċentralizzati u jirritorna għall-iskema tradizzjonali li jintbagħtu mistoqsijiet mhux kriptati lis-server DNS tal-fornitur. Minflok infrastruttura distribwita ta' resolvituri DNS, DoH juża rabta ma' servizz speċifiku DoH, li jista' jitqies bħala punt wieħed ta' falliment. Bħalissa, ix-xogħol huwa offrut permezz ta 'żewġ fornituri DNS - CloudFlare (default) u
Ibdel il-fornitur jew iddiżattiva DoH
Ejja nfakkru li DoH jista 'jkun utli għall-prevenzjoni ta' tnixxijiet ta 'informazzjoni dwar l-ismijiet tal-host mitluba permezz tas-servers DNS tal-fornituri, jiġġieldu attakki MITM u spoofing tat-traffiku DNS (per eżempju, meta tikkonnettja ma' Wi-Fi pubbliku), jiġġieldu l-imblukkar fid-DNS livell (DoH ma tistax tissostitwixxi VPN fil-qasam tal-imblukkar ta’ bypassing implimentat fil-livell DPI) jew għall-organizzazzjoni tax-xogħol jekk ikun impossibbli li taċċessa direttament servers DNS (pereżempju, meta taħdem permezz ta’ proxy). Jekk f'sitwazzjoni normali talbiet DNS jintbagħtu direttament lil servers DNS definiti fil-konfigurazzjoni tas-sistema, allura fil-każ ta 'DoH, it-talba biex jiġi ddeterminat l-indirizz IP tal-host hija inkapsulata fit-traffiku HTTPS u mibgħuta lis-server HTTP, fejn is-solvent jipproċessa talbiet permezz tal-Web API. L-istandard DNSSEC eżistenti juża l-kriptaġġ biss biex jawtentika l-klijent u s-server, iżda ma jipproteġix it-traffiku mill-interċettazzjoni u ma jiggarantixxix il-kunfidenzjalità tat-talbiet.
Biex tagħżel il-fornituri tad-DoH offruti fil-Firefox,
DoH għandu jintuża b'kawtela. Pereżempju, fil-Federazzjoni Russa, l-indirizzi IP 104.16.248.249 u 104.16.249.249 assoċjati mas-server default DoH mozilla.cloudflare-dns.com offrut fi Firefox,
Id-DoH jista’ wkoll jikkawża problemi f’oqsma bħas-sistemi ta’ kontroll tal-ġenituri, l-aċċess għall-ispazji tal-isem interni f’sistemi korporattivi, l-għażla tar-rotot fis-sistemi tal-ottimizzazzjoni tal-konsenja tal-kontenut, u l-konformità mal-ordnijiet tal-qorti fil-qasam tal-ġlieda kontra d-distribuzzjoni ta’ kontenut illegali u l-isfruttament ta’ minorenni. Biex jiġu evitati problemi bħal dawn, ġiet implimentata u ttestjata sistema ta 'kontroll li awtomatikament tiddiżattiva d-DoH taħt ċerti kundizzjonijiet.
Biex jiġu identifikati s-solventi ta' l-intrapriżi, dominji atipiċi ta' l-ewwel livell (TLDs) huma ċċekkjati u s-sistema ta' resolver jirritorna l-indirizzi ta' l-intranet. Biex jiġi ddeterminat jekk il-kontrolli tal-ġenituri humiex attivati, isir tentattiv biex jiġi solvut l-isem exampleadultsite.com u jekk ir-riżultat ma jaqbilx mal-IP attwali, jitqies li l-imblukkar tal-kontenut għall-adulti huwa attiv fil-livell DNS. L-indirizzi IP ta' Google u YouTube huma wkoll iċċekkjati bħala sinjali biex tara jekk ġewx sostitwiti minn restrict.youtube.com, forcesafesearch.google.com u restrictmoderate.youtube.com. Dawn il-kontrolli jippermettu lill-attakkanti li jikkontrollaw l-operat tas-solvent jew li huma kapaċi jinterferixxu mat-traffiku biex jissimulaw imġieba bħal din biex jiddiżattivaw l-encryption tat-traffiku DNS.
Ħidma permezz ta' servizz DoH wieħed jista' potenzjalment iwassal ukoll għal problemi bl-ottimizzazzjoni tat-traffiku fin-netwerks tal-konsenja tal-kontenut li jibbilanċjaw it-traffiku bl-użu tad-DNS (is-server DNS tan-netwerk CDN jiġġenera rispons b'kont meħud tal-indirizz tas-solvent u jipprovdi l-eqreb host biex jirċievi l-kontenut). Li tibgħat mistoqsija DNS mir-risolvent l-eqreb għall-utent f'dawn is-CDNs tirriżulta fir-ritorn tal-indirizz tal-host l-eqreb tal-utent, iżda li tibgħat mistoqsija DNS minn resolver ċentralizzat ser jirritorna l-indirizz tal-host l-eqreb tas-server DNS-over-HTTPS. . L-ittestjar fil-prattika wera li l-użu ta’ DNS-over-HTTP meta jintuża CDN ma wassal għal prattikament l-ebda dewmien qabel il-bidu tat-trasferiment tal-kontenut (għal konnessjonijiet veloċi, id-dewmien ma jaqbiżx l-10 millisekondi, u prestazzjoni saħansitra aktar mgħaġġla kienet osservata fuq kanali ta’ komunikazzjoni bil-mod ). L-użu tal-estensjoni tas-Subnet tal-Klijent tal-EDNS tqies ukoll biex jipprovdi informazzjoni dwar il-post tal-klijent lis-solvent tas-CDN.
Sors: opennet.ru