فائر فاکس ڊولپرز ڊي اين ايس لاءِ ٽيسٽنگ سپورٽ جي مڪمل ٿيڻ بابت HTTPS (DoH، DNS over HTTPS) ۽ هن ٽيڪنالاجي کي ڊفالٽ طور تي فعال ڪرڻ جو ارادو آمريڪي صارفين لاءِ سيپٽمبر جي آخر ۾. چالو ڪيو ويندو، شروعاتي طور تي ڪجھ سيڪڙو استعمال ڪندڙن لاء، ۽ جيڪڏھن ڪو مسئلو نه آھي، تدريجي طور تي 100٪ تائين وڌايو ويندو. هڪ دفعو آمريڪا جو احاطو ڪيو ويندو، DoH کي ٻين ملڪن ۾ شامل ڪرڻ لاءِ غور ڪيو ويندو.
سڄي سال ۾ ڪيل ٽيسٽ سروس جي قابل اعتماد ۽ سٺي ڪارڪردگي ڏيکاري ٿي، ۽ اهو پڻ ممڪن ڪيو ته ڪجهه حالتن جي نشاندهي ڪن جتي DoH مسئلا پيدا ڪري سگهي ٿي ۽ انهن کي روڪڻ لاء حل پيدا ڪري سگهي ٿي (مثال طور، جدا ٿيل مواد جي ترسيل نيٽ ورڪن ۾ ٽرئفڪ جي اصلاح سان، والدين ڪنٽرول ۽ ڪارپوريٽ اندروني DNS زون).
DNS ٽريفڪ کي انڪرپٽ ڪرڻ جي اهميت جو جائزو ورتو ويو آهي بنيادي طور تي اهم عنصر جي طور تي صارفين جي حفاظت ۾، تنهن ڪري اهو طئي ڪيو ويو ته DoH کي ڊفالٽ طور تي فعال ڪيو وڃي، پر پهرين مرحلي ۾ صرف آمريڪا جي استعمال ڪندڙن لاءِ. DoH کي چالو ڪرڻ کان پوء، صارف کي هڪ خبرداري ملي ويندي، جيڪا اجازت ڏيندو، جيڪڏهن گهربل، مرڪزي DoH DNS سرورز سان رابطو ڪرڻ کان انڪار ڪرڻ ۽ فراهم ڪندڙ جي DNS سرور تي غير انڪرپٽ ٿيل درخواستون موڪلڻ جي روايتي اسڪيم ڏانهن موٽڻ جي اجازت ڏيندو (ڊي اين ايس حل ڪندڙن جي ورهايل انفراسٽرڪچر جي بدران، DoH استعمال ڪري ٿو بائنڊنگ کي مخصوص DoH سروس، جنهن کي سمجهي سگهجي ٿو هڪ واحد نقطو ناڪامي).
جيڪڏهن DoH چالو آهي، والدين ڪنٽرول سسٽم ۽ ڪارپوريٽ نيٽ ورڪ جيڪي اندروني نيٽ ورڪ-صرف DNS نالي جي جوڙجڪ کي استعمال ڪن ٿا انٽرانيٽ ايڊريس کي حل ڪرڻ لاءِ ۽ ڪارپوريٽ ميزبانن کي خراب ٿي سگهي ٿو. اهڙين سسٽم سان مسئلن کي حل ڪرڻ لاء، چيڪن جو هڪ سسٽم شامل ڪيو ويو آهي جيڪو خودڪار طور تي DoH کي غير فعال ڪري ٿو. چيڪ ڪيو ويندو آهي هر دفعي جڏهن برائوزر لانچ ڪيو ويندو آهي يا جڏهن هڪ ذيلي نيٽ تبديلي معلوم ٿئي ٿي.
معياري آپريٽنگ سسٽم حل ڪندڙ کي استعمال ڪرڻ لاءِ هڪ خودڪار واپسي پڻ مهيا ڪئي وئي آهي جيڪڏهن ناڪاميون DoH ذريعي ريزوليوشن دوران ٿينديون آهن (مثال طور، جيڪڏهن DoH فراهم ڪندڙ سان نيٽ ورڪ جي دستيابي ۾ خلل پوي ٿو يا ان جي انفراسٽرڪچر ۾ ناڪامي ٿئي ٿي). اهڙين چيڪن جو مطلب قابل اعتراض آهي، ڇاڪاڻ ته ڪو به حملو ڪندڙن کي روڪي نٿو سگهي جيڪي حل ڪندڙ جي آپريشن کي ڪنٽرول ڪن ٿا يا DNS ٽرئفڪ جي انڪرپشن کي غير فعال ڪرڻ لاء ساڳي رويي کي نقل ڪرڻ کان ٽرئفڪ سان مداخلت ڪرڻ جي قابل آهن. مسئلو حل ڪيو ويو "DoH هميشه" شيون سيٽنگون ۾ شامل ڪرڻ سان (خاموش طور تي غير فعال)، جڏهن سيٽ ڪيو ويو، خودڪار بند لاڳو نه ڪيو ويو آهي، جيڪو هڪ مناسب سمجهوتو آهي.
انٽرپرائز حل ڪندڙ کي سڃاڻڻ لاءِ، غير معمولي فرسٽ-ليول ڊومينز (TLDs) چيڪ ڪيا ويندا آهن ۽ سسٽم حل ڪندڙ انٽرنيٽ ايڊريس موٽائي ٿو. اهو طئي ڪرڻ لاءِ ته ڇا والدين ڪنٽرول فعال آهن، هڪ ڪوشش ڪئي وئي آهي حل ڪرڻ جي نالي جو مثال exampleadultsite.com ۽ جيڪڏهن نتيجو اصل IP سان نه ٿو ملي، اهو سمجهيو وڃي ٿو ته بالغ مواد بلاڪ ڪرڻ DNS سطح تي سرگرم آهي. گوگل ۽ يوٽيوب جي IP پتي کي پڻ نشانين طور چيڪ ڪيو ويو آهي ته ڇا اهي restrict.youtube.com،forceafesearch.google.com ۽ restrictmoderate.youtube.com سان تبديل ڪيا ويا آهن. اضافي Mozilla ھڪڙي ٽيسٽ ميزبان کي لاڳو ڪريو ، جنهن کي ISPs ۽ والدين ڪنٽرول خدمتون استعمال ڪري سگھن ٿيون پرچم جي طور تي DoH کي غير فعال ڪرڻ لاءِ (جيڪڏهن ميزبان معلوم نه ٿيو هجي، فائر فاڪس DoH کي غير فعال ڪري ٿو).
هڪ واحد DoH سروس ذريعي ڪم ڪرڻ سان شايد مواد جي ترسيل نيٽ ورڪن ۾ ٽرئفڪ جي اصلاح سان مسئلا پيدا ٿي سگهن ٿا جيڪي DNS استعمال ڪندي ٽرئفڪ کي بيلنس ڪن ٿا (CDN نيٽ ورڪ جو DNS سرور هڪ جواب پيدا ڪري ٿو جيڪو حل ڪندڙ ايڊريس کي مدنظر رکي ٿو ۽ مواد حاصل ڪرڻ لاءِ ويجهي ميزبان مهيا ڪري ٿو). اهڙي CDNs ۾ استعمال ڪندڙ جي ويجھو حل ڪندڙ کان DNS سوال موڪلڻ جي نتيجي ۾ صارف جي ويجھي ميزبان جو پتو موٽايو ويندو، پر مرڪزي حل ڪندڙ کان DNS سوال موڪلڻ سان ھوسٽ ايڊريس واپس ايندي DNS-over-HTTPS سرور جي ويجھو. . عملي طور تي جاچ پڌرو ٿيو ته DNS-over-HTTP جو استعمال جڏهن CDN استعمال ڪندي مواد جي منتقلي جي شروعات کان اڳ عملي طور تي ڪا به دير نه ڪئي (تيز ڪنيڪشن لاءِ، دير 10 ملي سيڪنڊن کان وڌيڪ نه هئي، ۽ اڃا به تيز ڪارڪردگي سست ڪميونيڪيشن چينلز تي ڏسڻ ۾ آئي. ). EDNS ڪلائنٽ سبنيٽ ايڪسٽينشن جو استعمال پڻ CDN حل ڪندڙ کي ڪلائنٽ جي جڳھ جي معلومات مهيا ڪرڻ تي غور ڪيو ويو.
اچو ته ياد رکون ته DoH مهيا ڪندڙن جي DNS سرورز ذريعي درخواست ڪيل ميزبان نالن بابت معلومات جي ليڪ کي روڪڻ، MITM حملن کي منهن ڏيڻ ۽ ڊي اين ايس ٽرئفڪ جي چوري کي روڪڻ، ڊي اين ايس جي سطح تي بلاڪنگ کي روڪڻ، يا ڪم کي منظم ڪرڻ لاء ڪارائتو ٿي سگهي ٿو. اهو ناممڪن آهي سڌو سنئون DNS سرور تائين رسائي (مثال طور، جڏهن هڪ پراکسي ذريعي ڪم ڪندي). جيڪڏهن عام صورتحال ۾ DNS درخواستون سڌو سنئون DNS سرورز ڏانهن موڪليا وڃن ٿيون جيڪي سسٽم جي ترتيب ۾ بيان ڪيل آهن، پوء DoH جي صورت ۾، ميزبان جي IP پتي کي طئي ڪرڻ جي درخواست HTTPS ٽرئفڪ ۾ شامل ڪئي وئي آهي ۽ HTTP سرور ڏانهن موڪليو ويو آهي، جتي حل ڪندڙ عمل ڪندو آهي. درخواستون ويب API ذريعي. موجوده DNSSEC معيار صرف ڪلائنٽ ۽ سرور جي تصديق ڪرڻ لاءِ انڪرپشن استعمال ڪري ٿو، پر ٽرئفڪ کي مداخلت کان نٿو بچائي ۽ درخواستن جي رازداري جي ضمانت نٿو ڏئي.
DoH کي اٽڪل:config ۾ فعال ڪرڻ لاءِ، توھان کي نيٽ ورڪ جي قدر تبديل ڪرڻ گھرجي. 60 - DNS يا DoH استعمال ڪيو ويندو آهي، جيڪو به تيز هجي؛ 0 - DoH ڊفالٽ طور استعمال ڪيو ويندو آھي، ۽ DNS استعمال ڪيو ويندو آھي فال بيڪ آپشن؛ 1 - صرف DoH استعمال ڪيو ويندو آهي؛ 2 - مررنگ موڊ جنهن ۾ DoH ۽ DNS متوازي استعمال ٿين ٿا. ڊفالٽ طور، CloudFlare DNS سرور استعمال ڪيو ويندو آهي، پر اهو نيٽ ورڪ.trr.uri پيٽرولر ذريعي تبديل ٿي سگهي ٿو، مثال طور، توهان سيٽ ڪري سگهو ٿا “https://dns.google.com/experimental” يا “https://3 .4/dns-query "
جو ذريعو: opennet.ru