Horumarinta Firefox ku saabsan dhamaystirka taageerada tijaabada ee DNS ee HTTPS (DoH, DNS ka badan HTTPS) iyo ujeedka in awood loo siiyo tignoolajiyadan isticmaalayaasha Mareykanka dhamaadka Sebtembar. Dhaqdhaqaaqa waxaa loo fulin doonaa si tartiib tartiib ah, marka hore dhowr boqolkiiba isticmaalayaasha, iyo haddii aysan jirin dhibaatooyin, si tartiib tartiib ah u kordhaya ilaa 100%. Marka Maraykanka la daboolo, DoH waxaa loo tixgelin doonaa in lagu daro wadamada kale.
Tijaabooyin la qaaday sanadka oo dhan waxay muujiyeen kalsoonida iyo waxqabadka wanaagsan ee adeegga, waxayna sidoo kale suurta gelisay in la ogaado xaaladaha qaarkood oo ay DoH u horseedi karto dhibaatooyin iyo in la sameeyo xalal lagu hareermaro iyaga (tusaale, kala furfuran. oo leh wanaajinta taraafikada shabakadaha gudbinta nuxurka, kontaroolada waalidka iyo aagagga DNS gudaha ee shirkadaha).
Muhiimadda qarsoodiga ah ee taraafikada DNS waxaa lagu qiimeeyaa inay tahay arrin aasaasi ah oo muhiim u ah ilaalinta isticmaaleyaasha, sidaa darteed waxaa la go'aamiyay in awood loo siiyo DoH si caadi ah, laakiin marxaladda koowaad kaliya isticmaaleyaasha Mareykanka. Ka dib marka la hawlgeliyo DoH, isticmaaluhu wuxuu heli doonaa digniin u oggolaanaysa, haddii la rabo, inuu diido inuu la xiriiro server-yada DoH DNS ee dhexdhexaadka ah oo uu ku laabto nidaamka dhaqameed ee u diraya codsiyada aan qarsoodi ahayn ee server-ka DNS bixiyaha (halkii kaabayaasha la qaybiyey ee xaliyeyaasha DNS, DoH waxay isticmaashaa ku-xidhka adeeg DoH gaar ah, kaas oo loo tixgelin karo hal dhibic oo guul darro ah).
Haddii DoH ay shaqeyso, nidaamyada kontoroolka waalidka iyo shabakadaha shirkadaha ee adeegsada qaab dhismeedka magaca DNS ee shabakada-kaliya si ay u xalliyaan ciwaanada intranetka iyo martigaliyayaasha shirkadaha waa la carqaladayn karaa. Si loo xalliyo mashaakilaadka nidaamyada noocaas ah, nidaam hubin ayaa lagu daray kaasoo si toos ah u joojinaya DoH. Jeegaga ayaa la sameeyaa mar kasta oo browserka la furayo ama marka la ogaado isbeddelka subnetka.
Si toos ah ugu soo noqoshada isticmaalka caadiga ah ee xalinta nidaamka qalliinka ayaa sidoo kale la bixiyaa haddii guuldarradu ay dhacdo inta lagu jiro xallinta iyada oo loo marayo DoH (tusaale, haddii helitaanka shabakadda ee bixiyaha DoH uu carqaladeeyo ama ay ku fashilmaan kaabayaasha). Macnaha jeegaga noocan oo kale ah waa su'aal la iska waydiin karo, maadaama uusan qofna ka hor istaagin weeraryahannada xakameynaya hawlgalka xallinta ama awood u leh inay farageliyaan taraafikada si ay uga dhigaan habdhaqan la mid ah si ay u joojiyaan sirta taraafikada DNS. Dhibaatada waxaa lagu xalliyay iyadoo lagu daray shayga "DoH had iyo jeer" goobaha (aamus la'aan), marka la dejiyo, xirid toos ah lama dabaqo, taas oo ah tanaasul macquul ah.
Si loo aqoonsado xaliyasha ganacsiga, xayndaabyada heerka kowaad (TLDs) ee caadiga ah waa la hubiyaa oo nidaamku wuxuu soo celiyaa ciwaanada intranetka. Si loo go'aamiyo in kontoroolka waalidku karti yahay, waxaa la isku dayaa in la xalliyo magaca exampleadultsite.com iyo haddii natiijadu aysan ku habboonayn IP-ga dhabta ah, waxaa loo arkaa in xannibaadda waxyaabaha qaangaarka ah ay firfircoon tahay heerka DNS. Ciwaanka IP-ga Google-ka iyo YouTube-ka waxa sidoo kale loo eegaa calaamado ahaan si loo arko haddii lagu bedelay restrict.youtube.com,forcefesearch.google.com iyo restrictmoderate.youtube.com Mozilla dheeraad ah hirgelin hal tijaabo oo tijaabo ah , kuwaas oo ISP-yada iyo adeegyada kontoroolka waalidku u isticmaali karaan calan ahaan si ay u joojiyaan DoH (haddii aan la helin martida loo yahay, Firefox waxay joojisaa DoH).
Ka shaqaynta hal adeeg oo DoH ah waxay sidoo kale u horseedi kartaa dhibaatooyin xagga hagaajinta taraafikada ee shabakadaha gudbinta nuxurka kuwaas oo dheellitiran taraafikada iyadoo la adeegsanayo DNS (Seerarka shabakadda CDN ee DNS ayaa soo saara jawaab iyada oo la tixgelinayo ciwaanka xallinta wuxuuna bixiyaa martida ugu dhow si loo helo macluumaadka). Dirista weydiinta DNS xaliyaha ugu dhow isticmaalaha CDN-yada noocan oo kale ah waxay keenaysaa soo celinta ciwaanka martida loo yahay ee ugu dhow isticmaalaha, laakiin dirida weydiinta DNS ee xaliye dhexe waxay soo celin doontaa ciwaanka martida u dhow ee server-ka DNS-over-HTTPS . Tijaabada ficil ahaan waxay muujisay in isticmaalka DNS-over-HTTP marka la isticmaalayo CDN ay keentay in dib u dhac la'aan ka hor bilawga wareejinta nuxurka (xidhiidhka degdega ah, dib u dhacyadu kama badnayn 10 millise seconds, iyo xitaa waxqabadka degdega ah ayaa lagu arkay kanaalada isgaarsiinta gaabis ah. ). Isticmaalka EDNS Subnet-ka Macmiilka ayaa sidoo kale loo tixgeliyey inay siiso macluumaadka goobta macmiilka xaliyaha CDN.
Aynu xusuusanno in DoH ay faa'iido u yeelan karto ka hortagga macluumaadka ku saabsan magacyada martigeliyaha la codsaday iyada oo loo marayo server-yada DNS ee bixiyeyaasha, la dagaallanka weerarrada MITM iyo xajinta taraafikada DNS, ka hortagga xannibaadda heerka DNS, ama abaabulka shaqada haddii ay dhacdo suurtagal maaha in si toos ah loo galo server-yada DNS (tusaale ahaan, marka la adeegsanayo wakiil). Haddii xaalad caadi ah codsiyada DNS si toos ah loogu diro server-yada DNS ee lagu qeexay qaabeynta nidaamka, markaa kiiska DoH, codsiga lagu go'aaminayo cinwaanka IP-ga martida loo yahay waxaa lagu soo koobay taraafikada HTTPS waxaana loo diraa server-ka HTTP, halkaas oo xalinta xalinta. codsiyada iyada oo loo marayo API Web. Heerka DNSSEC ee jira wuxuu isticmaalaa sirta kaliya si loo xaqiijiyo macmiilka iyo server-ka, laakiin kama ilaaliyo taraafikada dhexda mana dammaanad qaadayso sirta codsiyada.
Si aad awood ugu siiso DoH in ku saabsan: config, waa in aad bedeshaa qiimaha network.trr.mode variable, kaas oo la taageeray ilaa Firefox 60. Qiimaha 0 ayaa gabi ahaanba baabi'iya DoH; 1 - DNS ama DoH ayaa la isticmaalaa, hadba kii dhaqso badan; 2 - DoH waxaa loo isticmaalaa si caadi ah, iyo DNS waxaa loo isticmaalaa doorasho dib-u-dhac ah; 3 - kaliya DoH ayaa la isticmaalaa; 4 - qaabka muraayadda kaas oo DoH iyo DNS loo isticmaalo isbarbar. Sida caadiga ah, server-ka CloudFlare DNS waa la isticmaalaa, laakiin waxaa lagu beddeli karaa xadka network.trr.uri, tusaale ahaan, waxaad dejin kartaa "https://dns.google.com/experimental" ama "https://9.9.9.9 .XNUMX/dns-waydiin"
Source: opennet.ru