Iżviluppaturi Firefox dwar l-abilitazzjoni tal-modalità DNS fuq HTTPS (DoH, DNS fuq HTTPS) awtomatikament għall-utenti tal-Istati Uniti. Il-kriptaġġ tat-traffiku tad-DNS huwa meqjus bħala fattur fundamentalment importanti fil-protezzjoni tal-utenti. Mill-lum, l-installazzjonijiet il-ġodda kollha mill-utenti tal-Istati Uniti se jkollhom id-DoH attivat awtomatikament. L-utenti eżistenti tal-Istati Uniti huma skedati li jaqilbu għal DoH fi żmien ftit ġimgħat. Fl-Unjoni Ewropea u pajjiżi oħra, attiva DoH awtomatikament għalissa .
Wara l-attivazzjoni tad-DoH, tintwera twissija lill-utent, li tippermetti, jekk mixtieq, li jirrifjuta li jikkuntattja servers DNS DoH ċentralizzati u jirritorna għall-iskema tradizzjonali li jintbagħtu mistoqsijiet mhux kriptati lis-server DNS tal-fornitur. Minflok infrastruttura distribwita ta' resolvituri DNS, DoH juża rabta ma' servizz speċifiku DoH, li jista' jitqies bħala punt wieħed ta' falliment. Bħalissa, ix-xogħol huwa offrut permezz ta 'żewġ fornituri DNS - CloudFlare (default) u .
Ibdel il-fornitur jew iddiżattiva DoH fis-settings tal-konnessjoni tan-netwerk. Pereżempju, tista' tispeċifika server DoH alternattiv “https://dns.google/dns-query” biex taċċessa s-servers tal-Google, “https://dns.quad9.net/dns-query” - Quad9 u “https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config jipprovdi wkoll l-issettjar network.trr.mode, li permezz tiegħu tista 'tbiddel il-mod operattiv DoH: valur ta' 0 jiddiżattiva kompletament DoH; 1 - Jintuża DNS jew DoH, liema minnhom ikun l-aktar mgħaġġel; 2 - DoH jintuża awtomatikament, u d-DNS jintuża bħala għażla ta' riżerva; 3 - DoH biss jintuża; 4 - mod ta' riflessjoni li fih jintużaw id-DoH u d-DNS b'mod parallel.
Ejja nfakkru li DoH jista 'jkun utli għall-prevenzjoni ta' tnixxijiet ta 'informazzjoni dwar l-ismijiet tal-host mitluba permezz tas-servers DNS tal-fornituri, jiġġieldu attakki MITM u spoofing tat-traffiku DNS (per eżempju, meta tikkonnettja ma' Wi-Fi pubbliku), jiġġieldu l-imblukkar fid-DNS livell (DoH ma tistax tissostitwixxi VPN fil-qasam tal-imblukkar ta’ bypassing implimentat fil-livell DPI) jew għall-organizzazzjoni tax-xogħol jekk ikun impossibbli li taċċessa direttament servers DNS (pereżempju, meta taħdem permezz ta’ proxy). Jekk f'sitwazzjoni normali talbiet DNS jintbagħtu direttament lil servers DNS definiti fil-konfigurazzjoni tas-sistema, allura fil-każ ta 'DoH, it-talba biex jiġi ddeterminat l-indirizz IP tal-host hija inkapsulata fit-traffiku HTTPS u mibgħuta lis-server HTTP, fejn is-solvent jipproċessa talbiet permezz tal-Web API. L-istandard DNSSEC eżistenti juża l-kriptaġġ biss biex jawtentika l-klijent u s-server, iżda ma jipproteġix it-traffiku mill-interċettazzjoni u ma jiggarantixxix il-kunfidenzjalità tat-talbiet.
Biex tagħżel il-fornituri tad-DoH offruti fil-Firefox, lil resolvers DNS affidabbli, li skonthom l-operatur DNS jista’ juża d-dejta riċevuta għal riżoluzzjoni biss biex jiżgura l-operat tas-servizz, m’għandux jaħżen zkuk għal aktar minn 24 siegħa, ma jistax jittrasferixxi d-dejta lil partijiet terzi u huwa obbligat li jiżvela informazzjoni dwar metodi ta' pproċessar ta' data. Is-servizz irid jaqbel ukoll li ma jiċċensura, jiffiltra, jinterferixxi jew jimblokka t-traffiku tad-DNS, ħlief f'sitwazzjonijiet ipprovduti bil-liġi.
DoH għandu jintuża b'kawtela. Pereżempju, fil-Federazzjoni Russa, l-indirizzi IP 104.16.248.249 u 104.16.249.249 assoċjati mas-server default DoH mozilla.cloudflare-dns.com offrut fi Firefox, в fuq talba tal-qorti ta’ Stavropol datata l-10.06.2013 ta’ Ġunju XNUMX.
Id-DoH jista’ wkoll jikkawża problemi f’oqsma bħas-sistemi ta’ kontroll tal-ġenituri, l-aċċess għall-ispazji tal-isem interni f’sistemi korporattivi, l-għażla tar-rotot fis-sistemi tal-ottimizzazzjoni tal-konsenja tal-kontenut, u l-konformità mal-ordnijiet tal-qorti fil-qasam tal-ġlieda kontra d-distribuzzjoni ta’ kontenut illegali u l-isfruttament ta’ minorenni. Biex jiġu evitati problemi bħal dawn, ġiet implimentata u ttestjata sistema ta 'kontroll li awtomatikament tiddiżattiva d-DoH taħt ċerti kundizzjonijiet.
Biex jiġu identifikati s-solventi ta' l-intrapriżi, dominji atipiċi ta' l-ewwel livell (TLDs) huma ċċekkjati u s-sistema ta' resolver jirritorna l-indirizzi ta' l-intranet. Biex jiġi ddeterminat jekk il-kontrolli tal-ġenituri humiex attivati, isir tentattiv biex jiġi solvut l-isem exampleadultsite.com u jekk ir-riżultat ma jaqbilx mal-IP attwali, jitqies li l-imblukkar tal-kontenut għall-adulti huwa attiv fil-livell DNS. L-indirizzi IP ta' Google u YouTube huma wkoll iċċekkjati bħala sinjali biex tara jekk ġewx sostitwiti minn restrict.youtube.com, forcesafesearch.google.com u restrictmoderate.youtube.com. Dawn il-kontrolli jippermettu lill-attakkanti li jikkontrollaw l-operat tas-solvent jew li huma kapaċi jinterferixxu mat-traffiku biex jissimulaw imġieba bħal din biex jiddiżattivaw l-encryption tat-traffiku DNS.
Ħidma permezz ta' servizz DoH wieħed jista' potenzjalment iwassal ukoll għal problemi bl-ottimizzazzjoni tat-traffiku fin-netwerks tal-konsenja tal-kontenut li jibbilanċjaw it-traffiku bl-użu tad-DNS (is-server DNS tan-netwerk CDN jiġġenera rispons b'kont meħud tal-indirizz tas-solvent u jipprovdi l-eqreb host biex jirċievi l-kontenut). Li tibgħat mistoqsija DNS mir-risolvent l-eqreb għall-utent f'dawn is-CDNs tirriżulta fir-ritorn tal-indirizz tal-host l-eqreb tal-utent, iżda li tibgħat mistoqsija DNS minn resolver ċentralizzat ser jirritorna l-indirizz tal-host l-eqreb tas-server DNS-over-HTTPS. . L-ittestjar fil-prattika wera li l-użu ta’ DNS-over-HTTP meta jintuża CDN ma wassal għal prattikament l-ebda dewmien qabel il-bidu tat-trasferiment tal-kontenut (għal konnessjonijiet veloċi, id-dewmien ma jaqbiżx l-10 millisekondi, u prestazzjoni saħansitra aktar mgħaġġla kienet osservata fuq kanali ta’ komunikazzjoni bil-mod ). L-użu tal-estensjoni tas-Subnet tal-Klijent tal-EDNS tqies ukoll biex jipprovdi informazzjoni dwar il-post tal-klijent lis-solvent tas-CDN.
Sors: opennet.ru