Фирефок Девелоперс о завршетку тестирања подршке за ДНС преко ХТТПС-а (ДоХ, ДНС преко ХТТПС-а) и намери да се ова технологија подразумевано омогући корисницима из САД крајем септембра. Активација ће се вршити прогресивно, у почетку за неколико процената корисника, а ако не буде проблема, постепено се повећава на 100%. Када САД буду покривене, ДоХ ће се разматрати за укључивање у друге земље.
Тестови спроведени током целе године показали су поузданост и добре перформансе услуге, а такође су омогућили да се идентификују неке ситуације у којима ДоХ може довести до проблема и развити решења за њихово заобилажење (на пример, растављени са оптимизацијом саобраћаја у мрежама за испоруку садржаја, родитељском надзору и корпоративним интерним ДНС зонама).
Важност шифровања ДНС саобраћаја се оцењује као суштински важан фактор у заштити корисника, па је одлучено да се ДоХ подразумевано омогући, али у првој фази само за кориснике из Сједињених Држава. Након активирања ДоХ-а, корисник ће добити упозорење које ће му, по жељи, омогућити да одбије да контактира централизоване ДоХ ДНС сервере и врати се на традиционалну шему слања нешифрованих захтева на ДНС сервер провајдера (уместо дистрибуиране инфраструктуре ДНС разрешивача, ДоХ користи везивање за одређену ДоХ услугу, што се може сматрати једном тачком отказа).
Ако је ДоХ активиран, системи родитељске контроле и корпоративне мреже које користе структуру ДНС имена само за интерну мрежу за решавање интранет адреса и корпоративних хостова могу бити поремећене. Да би се решили проблеми са таквим системима, додат је систем провера који аутоматски онемогућава ДоХ. Провере се врше сваки пут када се претраживач покрене или када се открије промена подмреже.
Аутоматски повратак на коришћење стандардног резолвера оперативног система је такође обезбеђен ако дође до кварова током решавања преко ДоХ (на пример, ако је доступност мреже код ДоХ провајдера поремећена или дође до кварова у његовој инфраструктури). Значење оваквих провера је упитно, јер нико не спречава нападаче који контролишу рад резолвера или су способни да ометају саобраћај да симулирају слично понашање како би онемогућили шифровање ДНС саобраћаја. Проблем је решен додавањем ставке „ДоХ увек“ у подешавања (тихо неактивно), када је подешено, аутоматско искључивање се не примењује, што је разуман компромис.
Да би се идентификовали пословни разрешивачи, проверавају се атипични домени првог нивоа (ТЛД) и системски разрешивач враћа интранет адресе. Да би се утврдило да ли је родитељска контрола омогућена, покушава се разрешити име екамплеадултсите.цом и ако резултат не одговара стварној ИП адреси, сматра се да је блокирање садржаја за одрасле активно на ДНС нивоу. ИП адресе Гоогле-а и ИоуТубе-а се такође проверавају као знакови да би се видело да ли су замењене рестриктивним.иоутубе.цом, форцесафесеарцх.гоогле.цом и лимитедмодерате.иоутубе.цом. Додатна Мозилла имплементирати један тест хост , који ИСП-ови и услуге родитељске контроле могу да користе као ознаку за онемогућавање ДоХ (ако хост није откривен, Фирефок онемогућује ДоХ).
Рад кроз једну ДоХ услугу такође може потенцијално довести до проблема са оптимизацијом саобраћаја у мрежама за испоруку садржаја које балансирају саобраћај користећи ДНС (ДНС сервер ЦДН мреже генерише одговор узимајући у обзир адресу разрешивача и обезбеђује најближи хост за пријем садржаја). Слање ДНС упита са разрешивача који је најближи кориснику у таквим ЦДН-овима резултира враћањем адресе хоста најближег кориснику, али слање ДНС упита из централизованог разрешивача ће вратити адресу хоста најближу ДНС-овер-ХТТПС серверу . Тестирање у пракси показало је да употреба ДНС-овер-ХТТП-а при коришћењу ЦДН-а практично није довела до кашњења пре почетка преноса садржаја (за брзе везе, кашњења нису прелазила 10 милисекунди, а још брже перформансе су примећене на спорим комуникационим каналима ). Такође је узето у обзир коришћење екстензије ЕДНС клијентске подмреже за пружање информација о локацији клијента ЦДН разрешивачу.
Подсетимо, ДоХ може бити користан за спречавање цурења информација о траженим именима хостова преко ДНС сервера провајдера, сузбијање МИТМ напада и лажирања ДНС саобраћаја, спречавање блокирања на ДНС нивоу или за организовање рада у случају да се немогуће је директно приступити ДНС серверима (на пример, када радите преко проксија). Ако се у нормалној ситуацији ДНС захтеви директно шаљу на ДНС сервере дефинисане у конфигурацији система, онда се у случају ДоХ-а захтев за одређивање ИП адресе хоста инкапсулира у ХТТПС саобраћај и шаље на ХТТП сервер, где разрешивач обрађује захтева преко веб АПИ-ја. Постојећи ДНССЕЦ стандард користи шифровање само за аутентификацију клијента и сервера, али не штити саобраћај од пресретања и не гарантује поверљивост захтева.
Да бисте омогућили ДоХ у абоут:цонфиг, морате променити вредност променљиве нетворк.трр.моде, која је подржана од Фирефок-а 60. Вредност 0 потпуно онемогућава ДоХ; 1 - користи се ДНС или ДоХ, шта год је брже; 2 – ДоХ се користи подразумевано, а ДНС се користи као резервна опција; 3 - користи се само ДоХ; 4 - режим пресликавања у коме се ДоХ и ДНС користе паралелно. Подразумевано се користи ЦлоудФларе ДНС сервер, али се може променити преко параметра нетворк.трр.ури, на пример, можете подесити „хттпс://днс.гоогле.цом/екпериментал“ или „хттпс://9.9.9.9 .XNUMX/днс-куери "
Извор: опеннет.ру