Watengenezaji wa Firefox kuhusu kukamilika kwa usaidizi wa majaribio ya DNS kupitia HTTPS (DoH, DNS kupitia HTTPS) na nia ya kuwezesha teknolojia hii kwa chaguomsingi kwa watumiaji wa Marekani mwishoni mwa Septemba. Uanzishaji utafanyika hatua kwa hatua, awali kwa asilimia chache ya watumiaji, na ikiwa hakuna matatizo, hatua kwa hatua huongezeka hadi 100%. Mara baada ya Marekani kushughulikiwa, DoH itazingatiwa ili kujumuishwa katika nchi nyingine.
Majaribio yaliyofanywa mwaka mzima yalionyesha kutegemewa na utendakazi mzuri wa huduma, na pia ilifanya iwezekane kubainisha baadhi ya hali ambapo DoH inaweza kusababisha matatizo na kuandaa masuluhisho ya kuyakwepa (kwa mfano, kusambaratishwa). na uboreshaji wa trafiki katika mitandao ya uwasilishaji wa maudhui, udhibiti wa wazazi na maeneo ya ndani ya shirika ya DNS).
Umuhimu wa kusimba trafiki ya DNS unatathminiwa kama jambo muhimu sana katika kulinda watumiaji, kwa hivyo iliamuliwa kuwezesha DoH kwa chaguomsingi, lakini katika hatua ya kwanza kwa watumiaji kutoka Marekani pekee. Baada ya kuwezesha DoH, mtumiaji atapokea onyo litakaloruhusu, ikihitajika, kukataa kuwasiliana na seva za DoH DNS za serikali kuu na kurudi kwenye mpango wa jadi wa kutuma maombi ambayo hayajasimbwa kwa seva ya DNS ya mtoa huduma (badala ya miundombinu iliyosambazwa ya visuluhishi vya DNS, DoH hutumia kumfunga kwa huduma mahususi ya DoH , ambayo inaweza kuchukuliwa kuwa ni sehemu moja ya kushindwa).
Iwapo DoH itawashwa, mifumo ya udhibiti wa wazazi na mitandao ya shirika inayotumia muundo wa jina la mtandao wa ndani wa DNS pekee ili kutatua anwani za intraneti na wapangishi wa mashirika wanaweza kutatizwa. Ili kutatua matatizo na mifumo hiyo, mfumo wa ukaguzi umeongezwa ambao huzima kiotomatiki DoH. Ukaguzi hufanywa kila wakati kivinjari kinapozinduliwa au mabadiliko ya subnet yanapogunduliwa.
Kurejesha kiotomatiki kwa kutumia kisuluhishi cha kawaida cha mfumo wa uendeshaji pia hutolewa ikiwa hitilafu hutokea wakati wa utatuzi kupitia DoH (kwa mfano, ikiwa upatikanaji wa mtandao na mtoa huduma wa DoH umetatizwa au hitilafu hutokea katika miundombinu yake). Maana ya ukaguzi kama huo ni ya kutiliwa shaka, kwa kuwa hakuna mtu anayezuia washambuliaji wanaodhibiti utendakazi wa kisuluhishi au wanaoweza kuingilia trafiki kutoka kuiga tabia sawa na kuzima usimbaji fiche wa trafiki ya DNS. Tatizo lilitatuliwa kwa kuongeza kipengee cha "DoH daima" kwenye mipangilio (isiyofanya kazi kimya), wakati imewekwa, kuzima kiotomatiki hakutumiki, ambayo ni maelewano ya busara.
Ili kutambua visuluhishi vya biashara, vikoa visivyo vya kawaida vya kiwango cha kwanza (TLDs) huangaliwa na kisuluhishi cha mfumo hurejesha anwani za intraneti. Ili kubaini ikiwa udhibiti wa wazazi umewashwa, jaribio linafanywa kusuluhisha jina la exampleadultsite.com na ikiwa matokeo hayalingani na IP halisi, inachukuliwa kuwa kuzuia maudhui ya watu wazima kunatumika katika kiwango cha DNS. Anwani za IP za Google na YouTube pia huangaliwa kama ishara ili kuona kama zimebadilishwa na restrict.youtube.com, forcesafesearch.google.com na restrictmoderate.youtube.com. Mozilla ya ziada tekeleza mwenyeji mmoja wa jaribio , ambayo ISPs na huduma za udhibiti wa wazazi zinaweza kutumia kama bendera kuzima DoH (ikiwa seva pangishi haijatambuliwa, Firefox huzima DoH).
Kufanya kazi kupitia huduma moja ya DoH kunaweza pia kusababisha matatizo katika uboreshaji wa trafiki katika mitandao ya uwasilishaji maudhui ambayo husawazisha trafiki kwa kutumia DNS (seva ya DNS ya mtandao wa CDN hutoa jibu kwa kuzingatia anwani ya kisuluhishi na hutoa mwenyeji wa karibu zaidi kupokea maudhui). Kutuma swali la DNS kutoka kwa kisuluhishi kilicho karibu zaidi na mtumiaji katika CDN kama hizo husababisha kurudisha anwani ya seva pangishi iliyo karibu na mtumiaji, lakini kutuma swali la DNS kutoka kwa kisuluhishi kilicho katikati kutarudisha anwani ya mwenyeji iliyo karibu zaidi na seva ya DNS-over-HTTPS. . Uchunguzi katika mazoezi ulionyesha kuwa utumiaji wa DNS-over-HTTP wakati wa kutumia CDN ulisababisha ucheleweshaji wowote kabla ya kuanza kwa uhamishaji wa yaliyomo (kwa miunganisho ya haraka, ucheleweshaji haukuzidi milisekunde 10, na hata utendaji wa haraka zaidi ulionekana kwenye njia za mawasiliano polepole. ) Utumizi wa kiendelezi cha Wateja wa EDNS pia ulizingatiwa kutoa maelezo ya eneo la mteja kwa kitatuzi cha CDN.
Tukumbuke kwamba DoH inaweza kuwa na manufaa kwa kuzuia uvujaji wa taarifa kuhusu majina ya waandaji yaliyoombwa kupitia seva za DNS za watoa huduma, kupambana na mashambulizi ya MITM na udukuzi wa trafiki ya DNS, kuzuia uzuiaji katika kiwango cha DNS, au kwa kuandaa kazi katika tukio ambalo haiwezekani kufikia seva za DNS moja kwa moja (kwa mfano, wakati wa kufanya kazi kupitia wakala). Ikiwa katika hali ya kawaida maombi ya DNS yanatumwa moja kwa moja kwa seva za DNS zilizofafanuliwa katika usanidi wa mfumo, basi katika kesi ya DoH, ombi la kuamua anwani ya IP ya mwenyeji limeingizwa kwenye trafiki ya HTTPS na kutumwa kwa seva ya HTTP, ambapo msuluhishi huchakata. maombi kupitia API ya Wavuti. Kiwango kilichopo cha DNSSEC kinatumia usimbaji fiche ili tu kuthibitisha mteja na seva, lakini hailindi trafiki dhidi ya kuingiliwa na haihakikishi usiri wa maombi.
Ili kuwezesha DoH katika about:config, lazima ubadilishe thamani ya network.trr.mode variable, ambayo imekuwa ikitumika tangu Firefox 60. Thamani ya 0 hulemaza DoH kabisa; 1 - DNS au DoH inatumiwa, yoyote ni ya haraka zaidi; 2 - DoH hutumiwa kwa chaguo-msingi, na DNS inatumika kama chaguo mbadala; 3 - DoH pekee inatumiwa; 4 - hali ya kuakisi ambayo DoH na DNS hutumiwa kwa sambamba. Kwa chaguo-msingi, seva ya CloudFlare DNS inatumiwa, lakini inaweza kubadilishwa kupitia kigezo cha network.trr.uri, kwa mfano, unaweza kuweka βhttps://dns.google.com/experimentalβ au βhttps://9.9.9.9 .XNUMX/dns-query "
Chanzo: opennet.ru