Pamekar Firefox ngeunaan sangkan DNS leuwih HTTPS (DoH, DNS leuwih HTTPS) mode sacara standar pikeun pamaké AS. Enkripsi lalulintas DNS dianggap faktor fundamentally penting dina ngajaga pamaké. Dimimitian ayeuna, sadaya pamasangan anyar ku pangguna AS bakal diaktipkeun DoH sacara standar. Pamaké AS anu aya dijadwalkeun dialihkeun ka DoH dina sababaraha minggu. Di Uni Éropa sareng nagara-nagara sanés, aktipkeun DoH sacara standar pikeun ayeuna .
Saatos ngaktipkeun DoH, peringatan dipintonkeun ka pangguna, anu ngamungkinkeun, upami hoyong, nolak ngahubungi server DNS DoH anu terpusat sareng uih deui ka skéma tradisional pikeun ngirim patarosan anu teu énkripsi ka server DNS panyadia. Gantina hiji infrastruktur disebarkeun DNS resolvers, DoH ngagunakeun mengikat ka layanan DoH husus, nu bisa dianggap titik tunggal gagal. Ayeuna, karya ditawarkeun ngaliwatan dua panyadia DNS - CloudFlare (standar) jeung .
Ganti panyadia atanapi nonaktipkeun DoH dina setélan sambungan jaringan. Contona, anjeun bisa nangtukeun hiji server DoH alternatif "https://dns.google/dns-query" pikeun ngakses server Google, "https://dns.quad9.net/dns-query" - Quad9 jeung "https:/ /doh .opendns.com/dns-query" - OpenDNS. Ngeunaan:config ogé nyadiakeun setelan network.trr.mode, ngaliwatan nu bisa ngarobah mode operasi DoH: nilai 0 lengkep disables DoH; 1 - DNS atanapi DoH dianggo, mana anu langkung gancang; 2 - DoH dianggo sacara standar, sareng DNS dianggo salaku pilihan mundur; 3 - ukur DoH dipaké; 4 - mode mirroring dimana DoH sareng DNS dianggo paralel.
Hayu urang émut yén DoH tiasa mangpaat pikeun nyegah bocor inpormasi ngeunaan nami host anu dipénta ngalangkungan server DNS panyadia, merangan serangan MITM sareng spoofing lalu lintas DNS (contona, nalika nyambungkeun ka Wi-Fi umum), ngalawan blokir dina DNS. tingkat (DoH teu bisa ngaganti VPN di wewengkon bypassing meungpeuk dilaksanakeun di tingkat DPI) atawa pikeun pangatur pagawean lamun teu mungkin pikeun langsung ngakses server DNS (contona, nalika digawé ngaliwatan proxy). Upami dina kaayaan normal, pamundut DNS langsung dikirim ka server DNS anu ditetepkeun dina konfigurasi sistem, maka dina kasus DoH, pamenta pikeun nangtukeun alamat IP host dibungkus dina lalu lintas HTTPS sareng dikirim ka server HTTP, dimana solver prosés. requests via Web API. Standar DNSSEC anu aya nganggo enkripsi ngan ukur pikeun ngabuktoskeun kaaslianana klien sareng server, tapi henteu ngajagi lalu lintas tina interception sareng henteu ngajamin karusiahan pamundut.
Pikeun milih panyadia DoH anu ditawarkeun dina Firefox, ka résolusi DNS anu dipercaya, numutkeun yén operator DNS tiasa nganggo data anu ditampi pikeun résolusi ngan ukur pikeun mastikeun operasi jasa, henteu kedah nyimpen log langkung ti 24 jam, henteu tiasa nransfer data ka pihak katilu sareng wajib ngungkabkeun inpormasi ngeunaan métode ngolah data. Palayanan ogé kedah satuju pikeun henteu ngasensor, nyaring, ngaganggu atanapi ngahalangan lalu lintas DNS, kecuali dina kaayaan anu disayogikeun ku hukum.
DoH kedah dianggo kalayan ati-ati. Salaku conto, di Féderasi Rusia, alamat IP 104.16.248.249 sareng 104.16.249.249 pakait sareng server standar DoH mozilla.cloudflare-dns.com anu ditawarkeun dina Firefox, в dina pamundut pangadilan Stavropol tanggal 10.06.2013 Juni XNUMX.
DoH ogé tiasa nyababkeun masalah di daérah sapertos sistem kontrol parental, aksés ka rohangan ngaran internal dina sistem perusahaan, pilihan rute dina sistem optimasi pangiriman eusi, sareng patuh kana paréntah pengadilan di daérah merangan panyebaran eusi ilegal sareng eksploitasi. budak leutik. Pikeun ngahindarkeun masalah sapertos kitu, sistem cek parantos dilaksanakeun sareng diuji anu otomatis nganonaktipkeun DoH dina kaayaan anu tangtu.
Pikeun ngaidentipikasi solvers perusahaan, domain tingkat kahiji atypical (TLDs) dipariksa sareng solver sistem mulihkeun alamat intranet. Pikeun nangtukeun naha kadali parental diaktipkeun, usaha dilakukeun pikeun ngabéréskeun nami exampleadultsite.com sareng upami hasilna henteu cocog sareng IP anu saleresna, éta dianggap yén meungpeuk eusi sawawa aktip dina tingkat DNS. Alamat IP Google sareng YouTube ogé dipariksa salaku tanda pikeun ningali upami aranjeunna parantos diganti ku restrict.youtube.com, forcesafesearch.google.com sareng restrictmoderate.youtube.com. Cék ieu ngamungkinkeun panyerang anu ngadalikeun operasi solver atanapi sanggup ngaganggu lalu lintas pikeun nyontokeun paripolah sapertos nganonaktipkeun enkripsi lalu lintas DNS.
Gawé ngaliwatan layanan DoH tunggal ogé berpotensi ngabalukarkeun masalah sareng optimasi lalulintas dina jaringan pangiriman eusi nu saimbang lalulintas ngagunakeun DNS (server DNS jaringan CDN urang ngahasilkeun respon nyokot akun alamat resolver jeung nyadiakeun host pangdeukeutna pikeun nampa eusi). Ngirim query DNS ti resolver pangdeukeutna ka pamaké dina CDNs sapertos ngakibatkeun balik alamat host pangdeukeutna ka pamaké, tapi ngirim query DNS ti resolver terpusat bakal balik alamat host pangdeukeutna ka server DNS-over-HTTPS. . Tés dina prakték nunjukkeun yén pamakean DNS-over-HTTP nalika nganggo CDN nyababkeun ampir teu aya telat sateuacan ngamimitian transfer kontén (pikeun sambungan gancang, telat henteu langkung ti 10 milliseconds, sareng kinerja anu langkung gancang dititénan dina saluran komunikasi anu laun. ). Pamakéan ekstensi Subnet Klién EDNS ogé dianggap nyayogikeun inpormasi lokasi klien ka solver CDN.
sumber: opennet.ru