Watengenezaji wa Firefox kuhusu kuwezesha DNS kupitia modi ya HTTPS (DoH, DNS juu ya HTTPS) kwa chaguo-msingi kwa watumiaji wa Marekani. Usimbaji fiche wa trafiki ya DNS inachukuliwa kuwa jambo muhimu sana katika kulinda watumiaji. Kuanzia leo, usakinishaji wote mpya wa watumiaji wa Marekani utakuwa umewashwa DoH kwa chaguomsingi. Watumiaji waliopo wa Marekani wameratibiwa kubadilishwa hadi DoH ndani ya wiki chache. Katika Umoja wa Ulaya na nchi nyingine, washa DoH kwa chaguomsingi kwa sasa .
Baada ya kuwezesha DoH, onyo huonyeshwa kwa mtumiaji, ambayo inaruhusu, ikiwa inataka, kukataa kuwasiliana na seva za DNS za DoH na kurudi kwenye mpango wa kawaida wa kutuma maswali ambayo hayajasimbwa kwa seva ya DNS ya mtoa huduma. Badala ya miundomsingi iliyosambazwa ya visuluhishi vya DNS, DoH hutumia kiambatanisho kwa huduma mahususi ya DoH, ambayo inaweza kuchukuliwa kuwa hatua moja ya kushindwa. Hivi sasa, kazi hutolewa kupitia watoa huduma wawili wa DNS - CloudFlare (chaguo-msingi) na .
Badilisha mtoa huduma au uzime DoH katika mipangilio ya unganisho la mtandao. Kwa mfano, unaweza kubainisha seva mbadala ya DoH “https://dns.google/dns-query” ili kufikia seva za Google, “https://dns.quad9.net/dns-query” - Quad9 na “https:/ /doh .opendns.com/dns-query" - OpenDNS. Kuhusu:config pia hutoa mpangilio wa network.trr.mode, ambapo unaweza kubadilisha hali ya uendeshaji ya DoH: thamani ya 0 huzima kabisa DoH; 1 - DNS au DoH inatumiwa, yoyote ni ya haraka zaidi; 2 - DoH hutumiwa kwa chaguo-msingi, na DNS inatumika kama chaguo mbadala; 3 - DoH pekee inatumiwa; 4 - hali ya kuakisi ambayo DoH na DNS hutumiwa kwa sambamba.
Kumbuka kwamba DoH inaweza kuwa na manufaa kwa kuzuia uvujaji wa taarifa kuhusu majina ya waandaji yaliyoombwa kupitia seva za DNS za watoa huduma, kupambana na mashambulizi ya MITM na uharibifu wa trafiki wa DNS (kwa mfano, wakati wa kuunganisha kwenye Wi-Fi ya umma), kuzuia kuzuia katika kiwango cha DNS (DoH). haiwezi kuchukua nafasi ya VPN katika eneo la kuzuia kuzuia kutekelezwa kwa kiwango cha DPI) au kwa kuandaa kazi ikiwa haiwezekani kupata seva za DNS moja kwa moja (kwa mfano, wakati wa kufanya kazi kupitia proksi). Ingawa kwa kawaida maombi ya DNS hutumwa moja kwa moja kwa seva za DNS zilizofafanuliwa katika usanidi wa mfumo, kwa upande wa DoH, ombi la kuamua anwani ya IP ya mwenyeji huwekwa kwenye trafiki ya HTTPS na kutumwa kwa seva ya HTTP, ambayo kisuluhishi huchakata maombi kupitia. API ya Wavuti. Kiwango cha sasa cha DNSSEC kinatumia usimbaji fiche ili tu kuthibitisha mteja na seva, lakini hailindi trafiki dhidi ya kukatiwa na haihakikishi usiri wa maombi.
Ili kuchagua watoa huduma wa DoH wanaotolewa katika Firefox, kwa visuluhishi vya kuaminika vya DNS, kulingana na ambayo opereta wa DNS anaweza kutumia data iliyopokelewa kwa kusuluhisha tu ili kuhakikisha utendakazi wa huduma, haipaswi kuhifadhi kumbukumbu kwa zaidi ya masaa 24, haiwezi kuhamisha data kwa watu wengine, na inahitajika kufichua habari. kuhusu mbinu za usindikaji wa data. Huduma lazima pia ijitolee kutokagua, kuchuja, kuingilia au kuzuia trafiki ya DNS, isipokuwa inavyotakiwa na sheria.
DoH inapaswa kutumika kwa tahadhari. Kwa mfano, katika Shirikisho la Urusi, anwani za IP 104.16.248.249 na 104.16.249.249 zinazohusishwa na seva chaguomsingi ya DoH mozilla.cloudflare-dns.com zinazotolewa katika Firefox, в kwa ombi la korti ya Stavropol ya Juni 10.06.2013, XNUMX.
DoH pia inaweza kusababisha matatizo katika maeneo kama vile mifumo ya udhibiti wa wazazi, upatikanaji wa nafasi za majina za ndani katika mifumo ya ushirika, uteuzi wa njia katika mifumo ya uboreshaji wa utoaji wa maudhui, na kufuata amri za mahakama katika eneo la kupambana na usambazaji wa maudhui haramu na unyonyaji wa watoto wadogo. Ili kukwepa matatizo hayo, mfumo wa hundi umetekelezwa na kujaribiwa ambao huzima kiotomatiki DoH chini ya hali fulani.
Ili kutambua visuluhishi vya biashara, vikoa visivyo vya kawaida vya kiwango cha kwanza (TLDs) huangaliwa na kisuluhishi cha mfumo hurejesha anwani za intraneti. Ili kubaini ikiwa udhibiti wa wazazi umewashwa, jaribio linafanywa kusuluhisha jina exampleadultsite.com na ikiwa matokeo hayalingani na IP halisi, inachukuliwa kuwa kuzuia maudhui ya watu wazima kunatumika katika kiwango cha DNS. Anwani za IP za Google na YouTube pia huangaliwa kama ishara ili kuona kama zimebadilishwa na restrict.youtube.com, forcesafesearch.google.com na restrictmoderate.youtube.com. Ukaguzi huu huruhusu wavamizi wanaodhibiti utendakazi wa kisuluhishi au wanaoweza kuathiri trafiki ili kuiga tabia kama hiyo ili kuzima usimbaji fiche wa trafiki ya DNS.
Kufanya kazi kupitia huduma moja ya DoH kunaweza pia kusababisha matatizo katika uboreshaji wa trafiki katika mitandao ya uwasilishaji maudhui ambayo husawazisha trafiki kwa kutumia DNS (seva ya DNS ya mtandao wa CDN hutoa jibu kwa kuzingatia anwani ya kisuluhishi na hutoa mwenyeji wa karibu zaidi kupokea maudhui). Kutuma swali la DNS kutoka kwa kisuluhishi kilicho karibu zaidi na mtumiaji katika CDN kama hizo husababisha kurudisha anwani ya seva pangishi iliyo karibu na mtumiaji, lakini kutuma swali la DNS kutoka kwa kisuluhishi kilicho katikati kutarudisha anwani ya mwenyeji iliyo karibu zaidi na seva ya DNS-over-HTTPS. . Uchunguzi katika mazoezi ulionyesha kuwa utumiaji wa DNS-over-HTTP wakati wa kutumia CDN ulisababisha ucheleweshaji wowote kabla ya kuanza kwa uhamishaji wa yaliyomo (kwa miunganisho ya haraka, ucheleweshaji haukuzidi milisekunde 10, na hata utendaji wa haraka zaidi ulionekana kwenye njia za mawasiliano polepole. ) Utumizi wa kiendelezi cha Wateja wa EDNS pia ulizingatiwa kutoa maelezo ya eneo la mteja kwa kitatuzi cha CDN.
Chanzo: opennet.ru