பயர்பாக்ஸ் டெவலப்பர்கள் US பயனர்களுக்கு முன்னிருப்பாக HTTPS (DoH, DNS மூலம் HTTPS) பயன்முறையில் DNS ஐ இயக்குவது பற்றி. டிஎன்எஸ் போக்குவரத்தின் குறியாக்கம் பயனர்களைப் பாதுகாப்பதில் ஒரு அடிப்படையான முக்கியமான காரணியாகக் கருதப்படுகிறது. இன்று முதல், அமெரிக்க பயனர்களின் அனைத்து புதிய நிறுவல்களும் இயல்பாகவே DoH இயக்கப்பட்டிருக்கும். தற்போதுள்ள US பயனர்கள் சில வாரங்களுக்குள் DoH க்கு மாற்றப்படுவார்கள். ஐரோப்பிய ஒன்றியம் மற்றும் பிற நாடுகளில், இப்போதைக்கு இயல்பாகவே DoHஐ இயக்கவும் .
DoH ஐச் செயல்படுத்திய பிறகு, பயனருக்கு ஒரு எச்சரிக்கை காட்டப்படும், இது விரும்பினால், மையப்படுத்தப்பட்ட DoH DNS சேவையகங்களைத் தொடர்பு கொள்ள மறுத்து, வழங்குநரின் DNS சேவையகத்திற்கு மறைகுறியாக்கப்படாத வினவல்களை அனுப்பும் பாரம்பரிய திட்டத்திற்குத் திரும்ப அனுமதிக்கிறது. DNS தீர்வுகளின் விநியோகிக்கப்பட்ட உள்கட்டமைப்பிற்குப் பதிலாக, DoH ஒரு குறிப்பிட்ட DoH சேவையுடன் பிணைப்பைப் பயன்படுத்துகிறது, இது தோல்வியின் ஒரு புள்ளியாகக் கருதப்படலாம். தற்போது, இரண்டு DNS வழங்குநர்கள் மூலம் வேலை வழங்கப்படுகிறது - CloudFlare (இயல்புநிலை) மற்றும் .
வழங்குநரை மாற்றவும் அல்லது DoH ஐ முடக்கவும் பிணைய இணைப்பு அமைப்புகளில். எடுத்துக்காட்டாக, Google சேவையகங்களை அணுக "https://dns.google/dns-query" என்ற மாற்று DoH சேவையகத்தை நீங்கள் குறிப்பிடலாம், "https://dns.quad9.net/dns-query" - Quad9 மற்றும் "https:/ /doh .opendns.com/dns-query" - OpenDNS. பற்றி:config ஆனது network.trr.mode அமைப்பையும் வழங்குகிறது, இதன் மூலம் நீங்கள் DoH இயக்க முறைமையை மாற்றலாம்: 0 இன் மதிப்பு DoH ஐ முழுமையாக முடக்குகிறது; 1 - DNS அல்லது DoH பயன்படுத்தப்படுகிறது, எது வேகமானது; 2 - DoH முன்னிருப்பாகப் பயன்படுத்தப்படுகிறது, மேலும் DNS ஒரு ஃபால்பேக் விருப்பமாகப் பயன்படுத்தப்படுகிறது; 3 - DoH மட்டுமே பயன்படுத்தப்படுகிறது; 4 - பிரதிபலிப்பு பயன்முறையில் DoH மற்றும் DNS ஆகியவை இணையாகப் பயன்படுத்தப்படுகின்றன.
வழங்குநர்களின் DNS சேவையகங்கள் மூலம் கோரப்பட்ட ஹோஸ்ட் பெயர்கள் பற்றிய தகவல் கசிவைத் தடுக்கவும், MITM தாக்குதல்கள் மற்றும் DNS டிராஃபிக் ஸ்பூஃபிங்கை எதிர்த்துப் போராடவும் (உதாரணமாக, பொது வைஃபையுடன் இணைக்கும் போது), DNS இல் தடுப்பதை எதிர்ப்பதற்கு DoH பயனுள்ளதாக இருக்கும் என்பதை நினைவில் கொள்வோம். நிலை (டிபிஐ மட்டத்தில் செயல்படுத்தப்பட்ட பைபாஸ் பிளாக்கிங் பகுதியில் VPN ஐ மாற்ற முடியாது) அல்லது டிஎன்எஸ் சேவையகங்களை நேரடியாக அணுகுவது சாத்தியமில்லை என்றால் (உதாரணமாக, ப்ராக்ஸி மூலம் பணிபுரியும் போது) வேலைகளை ஒழுங்கமைக்க முடியாது. ஒரு சாதாரண சூழ்நிலையில் DNS கோரிக்கைகள் கணினி கட்டமைப்பில் வரையறுக்கப்பட்ட DNS சேவையகங்களுக்கு நேரடியாக அனுப்பப்பட்டால், DoH ஐப் பொறுத்தவரை, ஹோஸ்டின் IP முகவரியைக் கண்டறியும் கோரிக்கை HTTPS ட்ராஃபிக்கில் இணைக்கப்பட்டு HTTP சேவையகத்திற்கு அனுப்பப்படும். Web API வழியாக கோரிக்கைகள். தற்போதுள்ள DNSSEC தரநிலையானது கிளையன்ட் மற்றும் சர்வரை அங்கீகரிக்க மட்டுமே குறியாக்கத்தைப் பயன்படுத்துகிறது, ஆனால் குறுக்கீடுகளிலிருந்து போக்குவரத்தைப் பாதுகாக்காது மற்றும் கோரிக்கைகளின் ரகசியத்தன்மைக்கு உத்தரவாதம் அளிக்காது.
Firefox இல் வழங்கப்படும் DoH வழங்குநர்களைத் தேர்ந்தெடுக்க, நம்பகமான DNS தீர்வுகளுக்கு, DNS ஆபரேட்டர் பெறப்பட்ட தரவை சேவையின் செயல்பாட்டை உறுதிப்படுத்த மட்டுமே பயன்படுத்த முடியும், 24 மணிநேரத்திற்கு மேல் பதிவுகளை சேமிக்கக்கூடாது, மூன்றாம் தரப்பினருக்கு தரவை மாற்ற முடியாது மற்றும் பற்றிய தகவலை வெளியிட கடமைப்பட்டுள்ளது தரவு செயலாக்க முறைகள். சட்டத்தால் வழங்கப்பட்ட சூழ்நிலைகளைத் தவிர, DNS ட்ராஃபிக்கைத் தணிக்கை செய்யவோ, வடிகட்டவோ, குறுக்கிடவோ அல்லது தடுக்கவோ கூடாது என்று சேவை ஒப்புக்கொள்ள வேண்டும்.
DoH ஐ எச்சரிக்கையுடன் பயன்படுத்த வேண்டும். எடுத்துக்காட்டாக, ரஷ்ய கூட்டமைப்பில், Firefox இல் வழங்கப்படும் mozilla.cloudflare-dns.com இயல்புநிலை DoH சேவையகத்துடன் தொடர்புடைய IP முகவரிகள் 104.16.248.249 மற்றும் 104.16.249.249, в ஜூன் 10.06.2013, XNUMX தேதியிட்ட ஸ்டாவ்ரோபோல் நீதிமன்றத்தின் வேண்டுகோளின் பேரில்.
பெற்றோர் கட்டுப்பாட்டு அமைப்புகள், கார்ப்பரேட் அமைப்புகளில் உள்ளக பெயர்வெளிகளுக்கான அணுகல், உள்ளடக்க விநியோக தேர்வுமுறை அமைப்புகளில் வழித் தேர்வு மற்றும் சட்டவிரோத உள்ளடக்கத்தின் விநியோகம் மற்றும் சுரண்டலை எதிர்த்துப் போராடுவதில் நீதிமன்ற உத்தரவுகளுக்கு இணங்குதல் போன்ற பகுதிகளிலும் DoH சிக்கல்களை ஏற்படுத்தலாம். சிறார். இத்தகைய சிக்கல்களைத் தவிர்க்க, ஒரு காசோலை அமைப்பு செயல்படுத்தப்பட்டு சோதிக்கப்பட்டது, இது சில நிபந்தனைகளின் கீழ் தானாகவே DoH ஐ முடக்குகிறது.
நிறுவன தீர்வுகளை அடையாளம் காண, வித்தியாசமான முதல்-நிலை டொமைன்கள் (TLDs) சரிபார்க்கப்பட்டு, கணினி தீர்வியானது இன்ட்ராநெட் முகவரிகளை வழங்குகிறது. பெற்றோர் கட்டுப்பாடுகள் இயக்கப்பட்டுள்ளதா என்பதைத் தீர்மானிக்க, exampleadultsite.com என்ற பெயரைத் தீர்க்க முயற்சி மேற்கொள்ளப்படுகிறது, மேலும் இதன் முடிவு உண்மையான IP உடன் பொருந்தவில்லை எனில், வயது வந்தோருக்கான உள்ளடக்கத்தைத் தடுப்பது DNS மட்டத்தில் செயலில் உள்ளதாகக் கருதப்படுகிறது. Google மற்றும் YouTube ஐபி முகவரிகள் restrict.youtube.com, forceafesearch.google.com மற்றும் restrictmoderate.youtube.com ஆகியவற்றால் மாற்றப்பட்டுள்ளதா என்பதைப் பார்ப்பதற்கான அறிகுறிகளாகவும் சரிபார்க்கப்படுகின்றன. டிஎன்எஸ் ட்ராஃபிக்கின் குறியாக்கத்தை முடக்க, ரிசல்வரின் செயல்பாட்டைக் கட்டுப்படுத்தும் அல்லது டிராஃபிக்கில் குறுக்கிடக்கூடிய தாக்குபவர்களை இத்தகைய நடத்தையை உருவகப்படுத்த இந்தச் சோதனைகள் அனுமதிக்கின்றன.
ஒரு DoH சேவையின் மூலம் பணிபுரிவது DNS ஐப் பயன்படுத்தி போக்குவரத்தைச் சமன் செய்யும் உள்ளடக்க விநியோக நெட்வொர்க்குகளில் ட்ராஃபிக் மேம்படுத்துவதில் சிக்கல்களுக்கு வழிவகுக்கும் (சிடிஎன் நெட்வொர்க்கின் DNS சேவையகம் தீர்க்கும் முகவரியைக் கருத்தில் கொண்டு பதிலை உருவாக்குகிறது மற்றும் உள்ளடக்கத்தைப் பெற நெருங்கிய ஹோஸ்டை வழங்குகிறது). அத்தகைய CDN களில் பயனருக்கு மிக நெருக்கமான ரிசல்வரிடமிருந்து DNS வினவலை அனுப்புவது, பயனருக்கு நெருக்கமான ஹோஸ்டின் முகவரியைத் திருப்பி அனுப்புகிறது, ஆனால் ஒரு மையப்படுத்தப்பட்ட தீர்விலிருந்து DNS வினவலை அனுப்புவது DNS-over-HTTPS சேவையகத்திற்கு அருகிலுள்ள ஹோஸ்ட் முகவரியை வழங்கும். . CDN ஐப் பயன்படுத்தும் போது DNS-ஓவர்-HTTP பயன்பாடு உள்ளடக்கப் பரிமாற்றம் தொடங்கும் முன் எந்த தாமதமும் ஏற்படவில்லை என்பதை நடைமுறையில் சோதனை காட்டுகிறது (வேகமான இணைப்புகளுக்கு, தாமதங்கள் 10 மில்லி விநாடிகளுக்கு மேல் இல்லை, மேலும் மெதுவான தொடர்பு சேனல்களில் வேகமான செயல்திறன் காணப்பட்டது. ) EDNS கிளையண்ட் சப்நெட் நீட்டிப்பின் பயன்பாடானது CDN தீர்விக்கு கிளையன்ட் இருப்பிடத் தகவலை வழங்குவதற்கும் கருதப்பட்டது.
ஆதாரம்: opennet.ru