Zhvilluesit e Firefox-it në lidhje me përfundimin e testimit të mbështetjes për DNS mbi HTTPS (DoH, DNS mbi HTTPS) dhe synimin për të aktivizuar këtë teknologji si parazgjedhje për përdoruesit amerikanë në fund të shtatorit. Aktivizimi do të kryhet në mënyrë progresive, fillimisht për disa për qind të përdoruesve, dhe nëse nuk ka probleme, do të rritet gradualisht në 100%. Pasi të mbulohet SHBA, DoH do të konsiderohet për përfshirje në vende të tjera.
Testet e kryera gjatë gjithë vitit treguan besueshmërinë dhe performancën e mirë të shërbimit, si dhe bënë të mundur identifikimin e disa situatave ku DH mund të çojë në probleme dhe të zhvillojë zgjidhje për t'i anashkaluar ato (për shembull, të çmontuara me optimizimin e trafikut në rrjetet e shpërndarjes së përmbajtjes, kontrollet prindërore dhe zonat e brendshme DNS të korporatave).
Rëndësia e kriptimit të trafikut DNS vlerësohet si një faktor thelbësisht i rëndësishëm në mbrojtjen e përdoruesve, kështu që u vendos që të aktivizohet DoH si parazgjedhje, por në fazën e parë vetëm për përdoruesit nga Shtetet e Bashkuara. Pas aktivizimit të DoH, përdoruesi do të marrë një paralajmërim që do të lejojë, nëse dëshiron, të refuzojë të kontaktojë serverët e centralizuar DNS të DoH dhe të kthehet në skemën tradicionale të dërgimit të kërkesave të pakriptuara në serverin DNS të ofruesit (në vend të një infrastrukture të shpërndarë të zgjidhësve DNS, DoH përdor lidhjen për një shërbim specifik DH, i cili mund të konsiderohet si një pikë e vetme dështimi).
Nëse DoH është aktivizuar, sistemet e kontrollit prindëror dhe rrjetet e korporatave që përdorin strukturën e emrit të DNS të rrjetit të brendshëm vetëm për të zgjidhur adresat e intranetit dhe hostet e korporatës mund të ndërpriten. Për të zgjidhur problemet me sisteme të tilla, është shtuar një sistem kontrollesh që çaktivizon automatikisht DoH. Kontrollet kryhen sa herë që shfletuesi hapet ose kur zbulohet një ndryshim i nënrrjetit.
Një kthim automatik në përdorimin e zgjidhësit standard të sistemit operativ sigurohet gjithashtu nëse ndodhin dështime gjatë zgjidhjes nëpërmjet DoH (për shembull, nëse disponueshmëria e rrjetit me ofruesin DoH ndërpritet ose ndodhin dështime në infrastrukturën e tij). Kuptimi i kontrolleve të tilla është i diskutueshëm, pasi askush nuk i pengon sulmuesit që kontrollojnë funksionimin e zgjidhësit ose janë të aftë të ndërhyjnë në trafik nga simulimi i sjelljeve të ngjashme për të çaktivizuar enkriptimin e trafikut DNS. Problemi u zgjidh duke shtuar artikullin "DoH gjithmonë" në cilësimet (në heshtje joaktive), kur vendoset, mbyllja automatike nuk zbatohet, gjë që është një kompromis i arsyeshëm.
Për të identifikuar zgjidhësit e ndërmarrjeve, domenet atipike të nivelit të parë (TLD) kontrollohen dhe zgjidhësi i sistemit kthen adresat e intranetit. Për të përcaktuar nëse kontrollet prindërore janë të aktivizuara, bëhet një përpjekje për të zgjidhur emrin exampleadultsite.com dhe nëse rezultati nuk përputhet me IP-në aktuale, konsiderohet se bllokimi i përmbajtjes për të rritur është aktiv në nivel DNS. Adresat IP të Google dhe YouTube kontrollohen gjithashtu si shenja për të parë nëse ato janë zëvendësuar nga limited.youtube.com, forceafesearch.google.com dhe limitedmoderate.youtube.com. Mozilla shtesë implementoni një host të vetëm testues , të cilin ISP-të dhe shërbimet e kontrollit prindëror mund ta përdorin si një flamur për të çaktivizuar DoH (nëse hosti nuk zbulohet, Firefox-i çaktivizon DoH).
Puna përmes një shërbimi të vetëm DoH gjithashtu mund të çojë në probleme me optimizimin e trafikut në rrjetet e shpërndarjes së përmbajtjes që balancojnë trafikun duke përdorur DNS (serveri DNS i rrjetit CDN gjeneron një përgjigje duke marrë parasysh adresën e zgjidhësit dhe siguron hostin më të afërt për të marrë përmbajtjen). Dërgimi i një pyetjeje DNS nga zgjidhësi më i afërt me përdoruesin në CDN të tilla rezulton në kthimin e adresës së hostit më të afërt me përdoruesin, por dërgimi i një pyetjeje DNS nga një zgjidhës i centralizuar do të kthejë adresën e hostit më afër serverit DNS-mbi-HTTPS . Testimi në praktikë tregoi se përdorimi i DNS-mbi-HTTP kur përdorni një CDN çoi në praktikisht asnjë vonesë përpara fillimit të transferimit të përmbajtjes (për lidhje të shpejta, vonesat nuk i kalonin 10 milisekonda, dhe performanca edhe më e shpejtë u vu re në kanalet e ngadalta të komunikimit ). Përdorimi i shtesës së nënrrjetit të klientit EDNS u konsiderua gjithashtu për t'i dhënë informacion vendndodhjes së klientit zgjidhësit CDN.
Le të kujtojmë se DoH mund të jetë e dobishme për parandalimin e rrjedhjeve të informacionit në lidhje me emrat e pritësve të kërkuar përmes serverëve DNS të ofruesve, për të luftuar sulmet MITM dhe mashtrimin e trafikut DNS, për të luftuar bllokimin në nivel DNS ose për organizimin e punës në rast se ai është e pamundur të aksesosh drejtpërdrejt serverët DNS (për shembull, kur punoni përmes një përfaqësuesi). Nëse në një situatë normale kërkesat DNS dërgohen drejtpërdrejt te serverët DNS të përcaktuar në konfigurimin e sistemit, atëherë në rastin e DoH, kërkesa për përcaktimin e adresës IP të hostit inkapsulohet në trafikun HTTPS dhe dërgohet në serverin HTTP, ku zgjidhësi përpunon kërkesat nëpërmjet API-së së Uebit. Standardi ekzistues DNSSEC përdor enkriptimin vetëm për të vërtetuar klientin dhe serverin, por nuk mbron trafikun nga përgjimi dhe nuk garanton konfidencialitetin e kërkesave.
Për të aktivizuar DoH në about:config, duhet të ndryshoni vlerën e ndryshores network.trr.mode, e cila është mbështetur që nga Firefox 60. Një vlerë prej 0 çaktivizon plotësisht DoH; 1 - Përdoret DNS ose DoH, cilado që të jetë më e shpejtë; 2 - DoH përdoret si parazgjedhje, dhe DNS përdoret si opsion rezervë; 3 - përdoret vetëm DoH; 4 - modaliteti i pasqyrimit në të cilin DoH dhe DNS përdoren paralelisht. Si parazgjedhje, përdoret serveri CloudFlare DNS, por ai mund të ndryshohet përmes parametrit network.trr.uri, për shembull, mund të vendosni "https://dns.google.com/experimental" ose "https://9.9.9.9 .XNUMX/dns-query "
Burimi: opennet.ru