Zhvilluesit e Firefox-it në lidhje me aktivizimin e modalitetit DNS mbi HTTPS (DoH, DNS mbi HTTPS) si parazgjedhje për përdoruesit e SHBA. Kriptimi i trafikut DNS konsiderohet një faktor thelbësisht i rëndësishëm në mbrojtjen e përdoruesve. Duke filluar nga sot, të gjitha instalimet e reja nga përdoruesit amerikanë do të kenë DoH të aktivizuar si parazgjedhje. Përdoruesit ekzistues amerikanë janë planifikuar të kalojnë në DoH brenda disa javësh. Në Bashkimin Evropian dhe vende të tjera, aktivizoni DoH si parazgjedhje për momentin .
Pas aktivizimit të DoH, përdoruesi i shfaqet një paralajmërim, i cili lejon, nëse dëshiron, të refuzojë të kontaktojë serverët e centralizuar të DNS të DoH dhe të kthehet në skemën tradicionale të dërgimit të pyetjeve të pakriptuara në serverin DNS të ofruesit. Në vend të një infrastrukture të shpërndarë të zgjidhësve DNS, DoH përdor një lidhje me një shërbim specifik DoH, i cili mund të konsiderohet si një pikë e vetme dështimi. Aktualisht, puna ofrohet përmes dy ofruesve të DNS - CloudFlare (e parazgjedhur) dhe .
Ndryshoni ofruesin ose çaktivizoni DoH në cilësimet e lidhjes së rrjetit. Për shembull, mund të specifikoni një server alternativ DoH "https://dns.google/dns-query" për të hyrë në serverët e Google, "https://dns.quad9.net/dns-query" - Quad9 dhe "https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config ofron gjithashtu cilësimin network.trr.mode, përmes të cilit mund të ndryshoni modalitetin e funksionimit të DoH: një vlerë prej 0 çaktivizon plotësisht DoH; 1 - Përdoret DNS ose DoH, cilado që të jetë më e shpejtë; 2 - DoH përdoret si parazgjedhje, dhe DNS përdoret si opsion rezervë; 3 - përdoret vetëm DoH; 4 - modaliteti i pasqyrimit në të cilin DoH dhe DNS përdoren paralelisht.
Le të kujtojmë se DoH mund të jetë e dobishme për parandalimin e rrjedhjeve të informacionit në lidhje me emrat e kërkuar të pritësve përmes serverëve DNS të ofruesve, për të luftuar sulmet MITM dhe mashtrimin e trafikut DNS (për shembull, kur lidheni me Wi-Fi publik), kundër bllokimit në DNS niveli (DoH nuk mund të zëvendësojë një VPN në fushën e anashkalimit të bllokimit të zbatuar në nivelin DPI) ose për organizimin e punës nëse është e pamundur të aksesoni drejtpërdrejt serverët DNS (për shembull, kur punoni përmes një përfaqësuesi). Nëse në një situatë normale kërkesat DNS dërgohen drejtpërdrejt te serverët DNS të përcaktuar në konfigurimin e sistemit, atëherë në rastin e DoH, kërkesa për përcaktimin e adresës IP të hostit inkapsulohet në trafikun HTTPS dhe dërgohet në serverin HTTP, ku zgjidhësi përpunon kërkesat nëpërmjet API-së së Uebit. Standardi ekzistues DNSSEC përdor enkriptimin vetëm për të vërtetuar klientin dhe serverin, por nuk mbron trafikun nga përgjimi dhe nuk garanton konfidencialitetin e kërkesave.
Për të zgjedhur ofruesit e DoH të ofruar në Firefox, zgjidhësve të besueshëm DNS, sipas të cilëve operatori DNS mund të përdorë të dhënat e marra për zgjidhje vetëm për të siguruar funksionimin e shërbimit, nuk duhet të ruajë regjistrat për më shumë se 24 orë, nuk mund të transferojë të dhëna te palët e treta dhe është i detyruar të zbulojë informacione rreth metodat e përpunimit të të dhënave. Shërbimi duhet gjithashtu të pajtohet të mos censurojë, filtrojë, ndërhyjë ose bllokojë trafikun DNS, përveç në situatat e parashikuara me ligj.
DoH duhet të përdoret me kujdes. Për shembull, në Federatën Ruse, adresat IP 104.16.248.249 dhe 104.16.249.249 të lidhura me serverin e paracaktuar të DoH mozilla.cloudflare-dns.com të ofruar në Firefox, в me kërkesë të gjykatës së Stavropolit të datës 10.06.2013 qershor XNUMX.
DoH gjithashtu mund të shkaktojë probleme në fusha të tilla si sistemet e kontrollit prindëror, qasja në hapësirat e brendshme të emrave në sistemet e korporatave, përzgjedhja e rrugës në sistemet e optimizimit të ofrimit të përmbajtjes dhe pajtueshmëria me urdhrat e gjykatës në fushën e luftimit të shpërndarjes së përmbajtjes së paligjshme dhe shfrytëzimit të të mitur. Për të anashkaluar probleme të tilla, është zbatuar dhe testuar një sistem kontrolli që çaktivizon automatikisht DoH në kushte të caktuara.
Për të identifikuar zgjidhësit e ndërmarrjeve, domenet atipike të nivelit të parë (TLD) kontrollohen dhe zgjidhësi i sistemit kthen adresat e intranetit. Për të përcaktuar nëse kontrollet prindërore janë të aktivizuara, tentohet të zgjidhet emri exampleadultsite.com dhe nëse rezultati nuk përputhet me IP-në aktuale, konsiderohet se bllokimi i përmbajtjes për të rritur është aktiv në nivel DNS. Adresat IP të Google dhe YouTube kontrollohen gjithashtu si shenja për të parë nëse ato janë zëvendësuar nga limited.youtube.com, forceafesearch.google.com dhe limitedmoderate.youtube.com. Këto kontrolle lejojnë sulmuesit që kontrollojnë funksionimin e zgjidhësit ose janë të aftë të ndërhyjnë në trafik për të simuluar një sjellje të tillë për të çaktivizuar enkriptimin e trafikut DNS.
Puna përmes një shërbimi të vetëm DoH gjithashtu mund të çojë në probleme me optimizimin e trafikut në rrjetet e shpërndarjes së përmbajtjes që balancojnë trafikun duke përdorur DNS (serveri DNS i rrjetit CDN gjeneron një përgjigje duke marrë parasysh adresën e zgjidhësit dhe siguron hostin më të afërt për të marrë përmbajtjen). Dërgimi i një pyetjeje DNS nga zgjidhësi më i afërt me përdoruesin në CDN të tilla rezulton në kthimin e adresës së hostit më të afërt me përdoruesin, por dërgimi i një pyetjeje DNS nga një zgjidhës i centralizuar do të kthejë adresën e hostit më afër serverit DNS-mbi-HTTPS . Testimi në praktikë tregoi se përdorimi i DNS-mbi-HTTP kur përdorni një CDN çoi në praktikisht asnjë vonesë përpara fillimit të transferimit të përmbajtjes (për lidhje të shpejta, vonesat nuk i kalonin 10 milisekonda, dhe performanca edhe më e shpejtë u vu re në kanalet e ngadalta të komunikimit ). Përdorimi i shtesës së nënrrjetit të klientit EDNS u konsiderua gjithashtu për t'i dhënë informacion vendndodhjes së klientit zgjidhësit CDN.
Burimi: opennet.ru