فائر فاکس ڊولپرز ڊي اين ايس اوور HTTPS (DoH، DNS over HTTPS) موڊ کي ڊفالٽ طور يو ايس استعمال ڪندڙن لاءِ فعال ڪرڻ بابت. DNS ٽرئفڪ جي انڪرپشن کي صارفين جي حفاظت ۾ بنيادي طور تي اهم عنصر سمجهيو ويندو آهي. اڄ کان شروع ڪندي، آمريڪي صارفين پاران سڀني نئين تنصيب کي ڊفالٽ طور تي فعال ڪيو ويندو. موجوده يو ايس استعمال ڪندڙن کي ڪجهه هفتن اندر DoH ۾ تبديل ڪيو ويندو. يورپي يونين ۽ ٻين ملڪن ۾، في الحال ڊفالٽ طور DoH کي فعال ڪريو .
DoH کي چالو ڪرڻ کان پوءِ، صارف کي ھڪ خبرداري ڏيکاري ويندي آھي، جيڪا اجازت ڏئي ٿي، جيڪڏھن گھري ٿي، مرڪزي DoH DNS سرورز سان رابطو ڪرڻ کان انڪار ڪرڻ ۽ مهيا ڪندڙ جي DNS سرور ڏانھن غير انڪريپ ٿيل سوالن کي موڪلڻ جي روايتي اسڪيم ڏانھن موٽڻ جي اجازت ڏئي ٿي. DNS حل ڪندڙن جي ورهايل انفراسٽرڪچر جي بدران، DoH هڪ مخصوص DoH سروس لاءِ پابند استعمال ڪري ٿو، جنهن کي سمجهي سگهجي ٿو ناڪاميءَ جو هڪ واحد نقطو. في الحال، ڪم ٻن DNS فراهم ڪندڙن جي ذريعي پيش ڪيو ويو آهي - CloudFlare (ڊفالٽ) ۽ .
فراهم ڪندڙ کي تبديل ڪريو يا DoH کي غير فعال ڪريو نيٽ ورڪ ڪنيڪشن سيٽنگون ۾. مثال طور، توھان وضاحت ڪري سگھو ٿا متبادل DoH سرور “https://dns.google/dns-query” گوگل سرور تائين رسائي حاصل ڪرڻ لاءِ، “https://dns.quad9.net/dns-query” - Quad9 ۽ “https:// /doh .opendns.com/dns-query" - OpenDNS. About:config نيٽ ورڪ.trr.mode سيٽنگ پڻ مهيا ڪري ٿي، جنهن ذريعي توهان DoH آپريٽنگ موڊ تبديل ڪري سگهو ٿا: 0 جو قدر مڪمل طور تي DoH کي غير فعال ڪري ٿو. 1 - DNS يا DoH استعمال ڪيو ويندو آهي، جيڪو به تيز هجي؛ 2 - DoH ڊفالٽ طور استعمال ڪيو ويندو آھي، ۽ DNS استعمال ڪيو ويندو آھي فال بيڪ آپشن؛ 3 - صرف DoH استعمال ٿيل آهي؛ 4 - مررنگ موڊ جنهن ۾ DoH ۽ DNS متوازي استعمال ٿين ٿا.
اچو ته ياد ڏياريون ته DoH مهيا ڪندڙن جي DNS سرورز ذريعي درخواست ڪيل ميزبان نالن بابت معلومات جي ليڪ کي روڪڻ لاءِ ڪارائتو ٿي سگهي ٿو، MITM حملن کي منهن ڏيڻ ۽ DNS ٽرئفڪ جي اسپفنگ (مثال طور، جڏهن عوامي وائي فائي سان ڳنڍڻ)، ڊي اين ايس تي بلاڪنگ کي منهن ڏيڻ. سطح (DoH DPI سطح تي لاڳو ٿيل بلاڪنگ بائي پاسنگ جي علائقي ۾ VPN کي تبديل نٿو ڪري سگهي) يا ڪم کي منظم ڪرڻ لاءِ جيڪڏهن اهو ناممڪن آهي ته سڌي طرح DNS سرور تائين رسائي حاصل ڪرڻ (مثال طور، جڏهن پراڪسي ذريعي ڪم ڪري). جيڪڏهن عام صورتحال ۾ DNS درخواستون سڌو سنئون DNS سرورز ڏانهن موڪليا وڃن ٿيون جيڪي سسٽم جي ترتيب ۾ بيان ڪيل آهن، پوء DoH جي صورت ۾، ميزبان جي IP پتي کي طئي ڪرڻ جي درخواست HTTPS ٽرئفڪ ۾ شامل ڪئي وئي آهي ۽ HTTP سرور ڏانهن موڪليو ويو آهي، جتي حل ڪندڙ عمل ڪندو آهي. درخواستون ويب API ذريعي. موجوده DNSSEC معيار صرف ڪلائنٽ ۽ سرور جي تصديق ڪرڻ لاءِ انڪرپشن استعمال ڪري ٿو، پر ٽرئفڪ کي مداخلت کان نٿو بچائي ۽ درخواستن جي رازداري جي ضمانت نٿو ڏئي.
فائر فاکس ۾ پيش ڪيل DoH مهيا ڪندڙن کي چونڊڻ لاءِ، قابل اعتماد DNS حل ڪندڙن ڏانهن، جنهن جي مطابق DNS آپريٽر صرف خدمت جي آپريشن کي يقيني بڻائڻ لاءِ ريزوليوشن لاءِ حاصل ڪيل ڊيٽا استعمال ڪري سگهي ٿو، لاگ ان کي 24 ڪلاڪن کان وڌيڪ نه رکڻ گهرجي، ٽئين پارٽين کي ڊيٽا منتقل نه ڪري سگهي ۽ ان بابت معلومات ظاهر ڪرڻ جو پابند آهي. ڊيٽا پروسيسنگ جا طريقا. خدمت کي لازمي طور تي متفق ٿيڻ گهرجي ته ڊي اين ايس ٽرئفڪ کي سينسر، فلٽر، مداخلت يا بلاڪ ڪرڻ کان سواء، قانون طرفان مهيا ڪيل حالتن ۾.
DoH احتياط سان استعمال ڪيو وڃي. مثال طور، روسي فيڊريشن ۾، IP پتي 104.16.248.249 ۽ 104.16.249.249 ڊفالٽ DoH سرور سان لاڳاپيل آهن mozilla.cloudflare-dns.com فائر فاکس ۾ پيش ڪيل، в 10.06.2013 جون XNUMX تي اسٽيورپول ڪورٽ جي درخواست تي.
DoH انهن علائقن ۾ پڻ مسئلا پيدا ڪري سگهي ٿو جهڙوڪ والدين ڪنٽرول سسٽم، ڪارپوريٽ سسٽم ۾ اندروني نالن تائين رسائي، مواد جي ترسيل اصلاح واري نظام ۾ رستي جي چونڊ، ۽ غير قانوني مواد جي ورڇ کي منهن ڏيڻ جي ميدان ۾ عدالتي حڪمن جي تعميل ۽ استحصال. نابالغ اهڙين مسئلن کي روڪڻ لاء، هڪ چيڪ سسٽم لاڳو ڪيو ويو آهي ۽ آزمائشي آهي جيڪو خودڪار طور تي DoH کي ڪجهه حالتن ۾ غير فعال ڪري ٿو.
انٽرپرائز حل ڪندڙ کي سڃاڻڻ لاءِ، غير معمولي فرسٽ-ليول ڊومينز (TLDs) چيڪ ڪيا ويندا آهن ۽ سسٽم حل ڪندڙ انٽرنيٽ ايڊريس موٽائي ٿو. اهو طئي ڪرڻ لاءِ ته ڇا والدين ڪنٽرول فعال آهن، هڪ ڪوشش ڪئي وئي آهي حل ڪرڻ جي نالي جو مثال exampleadultsite.com ۽ جيڪڏهن نتيجو اصل IP سان نه ٿو ملي، اهو سمجهيو وڃي ٿو ته بالغ مواد بلاڪ ڪرڻ DNS سطح تي سرگرم آهي. گوگل ۽ يوٽيوب جي IP پتي کي پڻ نشانين طور چيڪ ڪيو ويو آهي ته ڇا اهي restrict.youtube.com،forceafesearch.google.com ۽ restrictmoderate.youtube.com سان تبديل ڪيا ويا آهن. اهي چيڪ حملي ڪندڙن کي اجازت ڏين ٿا جيڪي حل ڪندڙ جي آپريشن کي ڪنٽرول ڪن ٿا يا ٽرئفڪ سان مداخلت ڪرڻ جي قابل آهن اهڙي رويي کي نقل ڪرڻ لاءِ DNS ٽرئفڪ جي انڪرپشن کي غير فعال ڪرڻ لاءِ.
هڪ واحد DoH سروس ذريعي ڪم ڪرڻ سان شايد مواد جي ترسيل نيٽ ورڪن ۾ ٽرئفڪ جي اصلاح سان مسئلا پيدا ٿي سگهن ٿا جيڪي DNS استعمال ڪندي ٽرئفڪ کي بيلنس ڪن ٿا (CDN نيٽ ورڪ جو DNS سرور هڪ جواب پيدا ڪري ٿو جيڪو حل ڪندڙ ايڊريس کي مدنظر رکي ٿو ۽ مواد حاصل ڪرڻ لاءِ ويجهي ميزبان مهيا ڪري ٿو). اهڙي CDNs ۾ استعمال ڪندڙ جي ويجھو حل ڪندڙ کان DNS سوال موڪلڻ جي نتيجي ۾ صارف جي ويجھي ميزبان جو پتو موٽايو ويندو، پر مرڪزي حل ڪندڙ کان DNS سوال موڪلڻ سان ھوسٽ ايڊريس واپس ايندي DNS-over-HTTPS سرور جي ويجھو. . عملي طور تي جاچ پڌرو ٿيو ته DNS-over-HTTP جو استعمال جڏهن CDN استعمال ڪندي مواد جي منتقلي جي شروعات کان اڳ عملي طور تي ڪا به دير نه ڪئي (تيز ڪنيڪشن لاءِ، دير 10 ملي سيڪنڊن کان وڌيڪ نه هئي، ۽ اڃا به تيز ڪارڪردگي سست ڪميونيڪيشن چينلز تي ڏسڻ ۾ آئي. ). EDNS ڪلائنٽ سبنيٽ ايڪسٽينشن جو استعمال پڻ CDN حل ڪندڙ کي ڪلائنٽ جي جڳھ جي معلومات مهيا ڪرڻ تي غور ڪيو ويو.
جو ذريعو: opennet.ru