د فایرفوکس پراختیا کونکي د HTTPS په اړه د DNS لپاره د ازموینې ملاتړ بشپړولو په اړه (DoH، DNS په HTTPS) او د سپتمبر په پای کې د متحده ایالاتو کاروونکو لپاره د ډیفالټ لخوا د دې ټیکنالوژۍ فعالولو اراده. فعالول به په تدریجي ډول ترسره شي، په پیل کې د یو څو سلنې کاروونکو لپاره، او که کومه ستونزه شتون ونلري، په تدریجي توګه 100٪ ته وده ورکړي. یوځل چې متحده ایالات پوښل شي، DoH به په نورو هیوادونو کې د شاملولو لپاره په پام کې ونیول شي.
د کال په اوږدو کې ترسره شوي ازموینو د خدماتو اعتبار او ښه فعالیت ښودلی، او دا یې هم ممکنه کړې چې ځینې شرایط وپیژني چیرې چې DoH کولی شي ستونزې رامینځته کړي او د دوی مخنیوي لپاره حلونه رامینځته کړي (د بیلګې په توګه، جلا شوي د مینځپانګې تحویلي شبکو کې د ترافیک اصلاح کولو سره ، د والدین کنټرولونو او کارپوریټ داخلي DNS زونونو کې).
د DNS ټرافیک د کوډ کولو اهمیت د کاروونکو په ساتنه کې د بنسټیز مهم فکتور په توګه ارزول شوی، نو دا پریکړه وشوه چې د ډیفالټ لخوا د DoH وړ کړي، مګر په لومړي مرحله کې یوازې د متحده ایاالتو کاروونکو لپاره. د DoH د فعالولو وروسته، کارونکي به یو خبرداری ترلاسه کړي چې اجازه ورکوي، که وغواړي، د مرکزي DoH DNS سرورونو سره تماس نیولو څخه ډډه وکړي او د چمتو کونکي DNS سرور ته د غیر کوډ شوي غوښتنو لیږلو دودیز سکیم ته راستانه شي (د DNS حل کونکو ویشل شوي زیربنا پرځای، DoH د ځانګړي DoH خدمت ته پابند کاروي، کوم چې د ناکامۍ یو واحد ټکی ګڼل کیدی شي).
که DoH فعال شي، د والدینو کنټرول سیسټمونه او کارپوریټ شبکې چې د داخلي شبکې - یوازې د DNS نوم جوړښت کاروي د انټرانیټ پتې او کارپوریټ کوربه حل کولو لپاره ممکن ګډوډ شي. د داسې سیسټمونو سره د ستونزو حل کولو لپاره، د چکونو یو سیسټم اضافه شوی چې په اتوماتيک ډول د DoH غیر فعالوي. چکونه هرکله ترسره کیږي کله چې براوزر پیل شي یا کله چې د فرعي نیټ بدلون وموندل شي.
د معیاري عملیاتي سیسټم حل کونکي کارولو ته اتوماتیک بیرته راستنیدل هم چمتو کیږي که چیرې د DoH له لارې د حل په جریان کې ناکامۍ رامینځته شي (د مثال په توګه ، که د DoH چمتو کونکي سره د شبکې شتون ګډوډ وي یا په زیربنا کې ناکامي پیښیږي). د دې ډول چکونو معنی د پوښتنې وړ ده، ځکه چې هیڅوک د برید کونکو مخه نه نیسي چې د حل کونکي عملیات کنټرولوي یا د DNS ترافیک کوډ کولو غیر فعال کولو لپاره ورته چلند سمولو څخه ترافیک سره مداخله کولو وړ وي. ستونزه په ترتیباتو کې د "DoH تل" توکي په اضافه کولو سره حل شوې (په خاموشۍ سره غیر فعال)، کله چې ټاکل کیږي، اتوماتیک بندول نه پلي کیږي، کوم چې یو مناسب جوړجاړی دی.
د تصدۍ حل کونکو پیژندلو لپاره ، غیر معمولي لومړۍ درجې ډومینونه (TLDs) چک شوي او د سیسټم حل کونکی د انټرانیټ پتې بیرته راولي. د دې لپاره چې دا معلومه کړي چې ایا د والدین کنټرولونه فعال شوي دي، هڅه کیږي چې د exampleadultsite.com نوم حل کړي او که پایله د اصلي IP سره سمون ونلري، نو دا په پام کې نیول کیږي چې د بالغ منځپانګې بلاک کول د DNS په کچه فعال دي. د ګوګل او یوټیوب IP پتې هم د نښو په توګه کتل کیږي ترڅو وګوري چې ایا دوی د restrict.youtube.com،forceafesearch.google.com او restrictmoderate.youtube.com لخوا بدل شوي دي. اضافي موزیلا د یو واحد ازموینې کوربه پلي کول ، کوم چې ISPs او د والدینو کنټرول خدمات کولی شي د DoH غیر فعالولو لپاره د بیرغ په توګه وکاروي (که چیرې کوربه ونه موندل شي ، فایرفوکس DoH غیر فعالوي).
د یو واحد DoH خدمت له لارې کار کول ممکن د مینځپانګې تحویلي شبکو کې د ترافیک اصلاح کولو ستونزې هم رامینځته کړي چې د DNS په کارولو سره ترافیک توازن کوي (د CDN شبکې DNS سرور د حل کونکي پته په پام کې نیولو سره ځواب رامینځته کوي او د مینځپانګې ترلاسه کولو لپاره نږدې کوربه چمتو کوي). په داسې CDNs کې کارونکي ته د نږدې حل کونکي څخه د DNS پوښتنې لیږل د کارونکي ته نږدې د کوربه پته بیرته راستنیدو لامل کیږي ، مګر د مرکزي حل کونکي څخه د DNS پوښتنې لیږل به د DNS-over-HTTPS سرور ته نږدې کوربه پته بیرته راولي. . په عمل کې ازموینې وښودله چې د DNS-over-HTTP کارول کله چې د CDN کارول په حقیقت کې د مینځپانګې لیږد پیل کولو دمخه هیڅ ځنډ لامل نه شو (د ګړندي اړیکو لپاره ، ځنډ له 10 ملی ثانیو څخه ډیر نه و ، او حتی ګړندی فعالیت په ورو مخابراتي چینلونو کې لیدل شوی و. ). د CDN حل کونکي ته د پیرودونکي موقعیت معلوماتو چمتو کولو لپاره د EDNS پیرودونکي سبنیټ توسیع کارول هم په پام کې نیول شوي.
راځئ چې یادونه وکړو چې DoH د وړاندیز کونکو DNS سرورونو له لارې د غوښتل شوي کوربه نومونو په اړه د معلوماتو لیک کیدو مخنیوي لپاره ګټور کیدی شي ، د MITM بریدونو سره مبارزه او د DNS ټرافیک سپوفینګ ، د DNS په کچه د بلاک کولو مخنیوي ، یا په هغه حالت کې د کار تنظیم کولو لپاره ګټور وي. د DNS سرورونو ته مستقیم لاسرسی ناممکن دی (د مثال په توګه ، کله چې د پراکسي له لارې کار کوي). که په نورمال حالت کې د DNS غوښتنې په مستقیم ډول د سیسټم ترتیب کې تعریف شوي DNS سرورونو ته لیږل کیږي ، نو د DoH په حالت کې ، د کوربه IP پتې ټاکلو غوښتنه د HTTPS ترافیک کې پوښل کیږي او HTTP سرور ته لیږل کیږي ، چیرې چې حل کونکي پروسس کوي. د ویب API له لارې غوښتنې. د DNSSEC اوسنی معیار یوازې د پیرودونکي او سرور تصدیق کولو لپاره کوډ کول کاروي ، مګر ترافیک د مداخلې څخه نه ساتي او د غوښتنو محرمیت تضمین نه کوي.
د DoH په اړه: config کې د فعالولو لپاره، تاسو باید د network.trr.mode متغیر ارزښت بدل کړئ، کوم چې د فایرفوکس 60 راهیسې ملاتړ شوی. د 0 ارزښت DoH په بشپړ ډول غیر فعالوي؛ 1- DNS یا DoH کارول کیږي، هر هغه چې چټک وي؛ 2 - DoH په ډیفالټ کارول کیږي، او DNS د فال بیک اختیار په توګه کارول کیږي؛ 3 - یوازې DoH کارول کیږي؛ 4 - د عکس العمل حالت په کوم کې چې DoH او DNS په موازي توګه کارول کیږي. په ډیفالټ ډول ، د CloudFlare DNS سرور کارول کیږي ، مګر دا د network.trr.uri پیرامیټر له لارې بدل کیدی شي ، د مثال په توګه ، تاسو کولی شئ "https://dns.google.com/experimental" یا "https://9.9.9.9" تنظیم کړئ .XNUMX/dns-query "
سرچینه: opennet.ru