Firefox డెవలపర్లు US వినియోగదారుల కోసం డిఫాల్ట్గా HTTPS (DoH, HTTPS ద్వారా DNS) మోడ్ ద్వారా DNSని ప్రారంభించడం గురించి. వినియోగదారులను రక్షించడంలో DNS ట్రాఫిక్ యొక్క ఎన్క్రిప్షన్ ప్రాథమికంగా ముఖ్యమైన అంశంగా పరిగణించబడుతుంది. ఈ రోజు నుండి, US వినియోగదారుల ద్వారా అన్ని కొత్త ఇన్స్టాలేషన్లు డిఫాల్ట్గా DoH ప్రారంభించబడతాయి. ఇప్పటికే ఉన్న US యూజర్లు కొన్ని వారాల్లో DoHకి మారడానికి షెడ్యూల్ చేయబడ్డారు. యూరోపియన్ యూనియన్ మరియు ఇతర దేశాలలో, ప్రస్తుతానికి డిఫాల్ట్గా DoHని యాక్టివేట్ చేయండి .
DoHని సక్రియం చేసిన తర్వాత, వినియోగదారుకు హెచ్చరిక ప్రదర్శించబడుతుంది, ఇది కావాలనుకుంటే, కేంద్రీకృత DoH DNS సర్వర్లను సంప్రదించడానికి నిరాకరించడానికి మరియు ప్రొవైడర్ యొక్క DNS సర్వర్కు గుప్తీకరించని ప్రశ్నలను పంపే సంప్రదాయ పథకానికి తిరిగి రావడానికి అనుమతిస్తుంది. DNS పరిష్కర్తల యొక్క పంపిణీ చేయబడిన అవస్థాపనకు బదులుగా, DoH ఒక నిర్దిష్ట DoH సేవకు బైండింగ్ను ఉపయోగిస్తుంది, ఇది వైఫల్యం యొక్క ఒకే పాయింట్గా పరిగణించబడుతుంది. ప్రస్తుతం, రెండు DNS ప్రొవైడర్ల ద్వారా పని అందించబడుతుంది - CloudFlare (డిఫాల్ట్) మరియు .
ప్రొవైడర్ను మార్చండి లేదా DoHని నిలిపివేయండి నెట్వర్క్ కనెక్షన్ సెట్టింగ్లలో. ఉదాహరణకు, మీరు Google సర్వర్లను యాక్సెస్ చేయడానికి ప్రత్యామ్నాయ DoH సర్వర్ని “https://dns.google/dns-query”ని పేర్కొనవచ్చు, “https://dns.quad9.net/dns-query” - Quad9 మరియు “https:/ /doh .opendns.com/dns-query" - OpenDNS. గురించి:config network.trr.mode సెట్టింగ్ని కూడా అందిస్తుంది, దీని ద్వారా మీరు DoH ఆపరేటింగ్ మోడ్ను మార్చవచ్చు: 0 విలువ పూర్తిగా DoHని నిలిపివేస్తుంది; 1 - DNS లేదా DoH ఉపయోగించబడుతుంది, ఏది వేగంగా ఉంటుంది; 2 - DoH డిఫాల్ట్గా ఉపయోగించబడుతుంది మరియు DNS ఫాల్బ్యాక్ ఎంపికగా ఉపయోగించబడుతుంది; 3 - DoH మాత్రమే ఉపయోగించబడుతుంది; 4 - DoH మరియు DNS సమాంతరంగా ఉపయోగించబడే మిర్రరింగ్ మోడ్.
ప్రొవైడర్ల DNS సర్వర్ల ద్వారా అభ్యర్థించిన హోస్ట్ పేర్లకు సంబంధించిన సమాచారం లీక్లను నిరోధించడం, MITM దాడులు మరియు DNS ట్రాఫిక్ స్పూఫింగ్లను ఎదుర్కోవడం (ఉదాహరణకు, పబ్లిక్ Wi-Fiకి కనెక్ట్ చేసినప్పుడు), DNS వద్ద నిరోధించడాన్ని ఎదుర్కోవడం వంటి వాటికి DoH ఉపయోగపడుతుందని గుర్తుచేసుకుందాం. స్థాయి (DPI స్థాయిలో అమలు చేయబడిన బైపాస్ బ్లాకింగ్ ప్రాంతంలో VPNని DoH భర్తీ చేయదు) లేదా DNS సర్వర్లను నేరుగా యాక్సెస్ చేయడం అసాధ్యం అయితే పనిని నిర్వహించడం కోసం (ఉదాహరణకు, ప్రాక్సీ ద్వారా పని చేస్తున్నప్పుడు). ఒక సాధారణ పరిస్థితిలో DNS అభ్యర్థనలు నేరుగా సిస్టమ్ కాన్ఫిగరేషన్లో నిర్వచించబడిన DNS సర్వర్లకు పంపబడితే, DoH విషయంలో, హోస్ట్ యొక్క IP చిరునామాను గుర్తించే అభ్యర్థన HTTPS ట్రాఫిక్లో సంగ్రహించబడుతుంది మరియు పరిష్కర్త ప్రాసెస్ చేసే HTTP సర్వర్కు పంపబడుతుంది. వెబ్ API ద్వారా అభ్యర్థనలు. ఇప్పటికే ఉన్న DNSSEC ప్రమాణం క్లయింట్ మరియు సర్వర్ను ప్రామాణీకరించడానికి మాత్రమే ఎన్క్రిప్షన్ను ఉపయోగిస్తుంది, అయితే ట్రాఫిక్ను అడ్డగించడం నుండి రక్షించదు మరియు అభ్యర్థనల గోప్యతకు హామీ ఇవ్వదు.
Firefoxలో అందించే DoH ప్రొవైడర్లను ఎంచుకోవడానికి, విశ్వసనీయ DNS పరిష్కర్తలకు, దీని ప్రకారం DNS ఆపరేటర్ రిజల్యూషన్ కోసం స్వీకరించిన డేటాను సేవ యొక్క ఆపరేషన్ను నిర్ధారించడానికి మాత్రమే ఉపయోగించవచ్చు, లాగ్లను 24 గంటల కంటే ఎక్కువ నిల్వ చేయకూడదు, మూడవ పక్షాలకు డేటాను బదిలీ చేయలేరు మరియు దాని గురించి సమాచారాన్ని బహిర్గతం చేయడానికి బాధ్యత వహిస్తారు. డేటా ప్రాసెసింగ్ పద్ధతులు. చట్టం ద్వారా అందించబడిన సందర్భాల్లో తప్ప, DNS ట్రాఫిక్ను సెన్సార్ చేయడం, ఫిల్టర్ చేయడం, జోక్యం చేసుకోవడం లేదా బ్లాక్ చేయడం వంటివి చేయకూడదని కూడా సేవ తప్పనిసరిగా అంగీకరించాలి.
DoH ను జాగ్రత్తగా వాడాలి. ఉదాహరణకు, రష్యన్ ఫెడరేషన్లో, Firefoxలో అందించే డిఫాల్ట్ DoH సర్వర్ mozilla.cloudflare-dns.comతో అనుబంధించబడిన IP చిరునామాలు 104.16.248.249 మరియు 104.16.249.249, в జూన్ 10.06.2013, XNUMX నాటి స్టావ్రోపోల్ కోర్టు అభ్యర్థన మేరకు.
తల్లిదండ్రుల నియంత్రణ వ్యవస్థలు, కార్పొరేట్ సిస్టమ్లలో అంతర్గత నేమ్స్పేస్లకు యాక్సెస్, కంటెంట్ డెలివరీ ఆప్టిమైజేషన్ సిస్టమ్లలో రూట్ ఎంపిక మరియు చట్టవిరుద్ధమైన కంటెంట్ పంపిణీ మరియు దోపిడీని ఎదుర్కోవడంలో కోర్టు ఆదేశాలను పాటించడం వంటి అంశాలలో కూడా DoH సమస్యలను కలిగిస్తుంది. మైనర్లు. అటువంటి సమస్యలను అధిగమించడానికి, నిర్దిష్ట పరిస్థితులలో స్వయంచాలకంగా DoHని నిలిపివేసే చెక్ సిస్టమ్ అమలు చేయబడింది మరియు పరీక్షించబడింది.
ఎంటర్ప్రైజ్ రిసల్వర్లను గుర్తించడానికి, వైవిధ్యమైన మొదటి-స్థాయి డొమైన్లు (TLDలు) తనిఖీ చేయబడతాయి మరియు సిస్టమ్ రిసల్వర్ ఇంట్రానెట్ చిరునామాలను అందిస్తుంది. తల్లిదండ్రుల నియంత్రణలు ప్రారంభించబడ్డాయో లేదో తెలుసుకోవడానికి, exampleadultsite.com పేరును పరిష్కరించడానికి ఒక ప్రయత్నం చేయబడుతుంది మరియు ఫలితం అసలు IPతో సరిపోలకపోతే, DNS స్థాయిలో పెద్దల కంటెంట్ బ్లాకింగ్ సక్రియంగా ఉన్నట్లు పరిగణించబడుతుంది. Google మరియు YouTube IP చిరునామాలు restrict.youtube.com, forceafesearch.google.com మరియు restrictmoderate.youtube.com ద్వారా భర్తీ చేయబడాయో లేదో చూడటానికి సంకేతాలుగా కూడా తనిఖీ చేయబడతాయి. ఈ తనిఖీలు DNS ట్రాఫిక్ యొక్క ఎన్క్రిప్షన్ను నిలిపివేయడానికి అటువంటి ప్రవర్తనను అనుకరించటానికి పరిష్కరిణి యొక్క ఆపరేషన్ను నియంత్రించే లేదా ట్రాఫిక్కు అంతరాయం కలిగించే సామర్థ్యాన్ని కలిగి ఉన్న దాడి చేసేవారిని అనుమతిస్తాయి.
ఒకే DoH సేవ ద్వారా పని చేయడం వలన DNSని ఉపయోగించి ట్రాఫిక్ను బ్యాలెన్స్ చేసే కంటెంట్ డెలివరీ నెట్వర్క్లలో ట్రాఫిక్ ఆప్టిమైజేషన్తో సమస్యలకు దారితీయవచ్చు (CDN నెట్వర్క్ యొక్క DNS సర్వర్ పరిష్కరిణి చిరునామాను పరిగణనలోకి తీసుకుని ప్రతిస్పందనను ఉత్పత్తి చేస్తుంది మరియు కంటెంట్ను స్వీకరించడానికి సన్నిహిత హోస్ట్ను అందిస్తుంది). అటువంటి CDNలలో వినియోగదారుకు దగ్గరగా ఉన్న పరిష్కరిణి నుండి DNS ప్రశ్నను పంపడం వలన వినియోగదారుకు దగ్గరగా ఉన్న హోస్ట్ యొక్క చిరునామాను తిరిగి పంపబడుతుంది, కానీ కేంద్రీకృత పరిష్కరిణి నుండి DNS ప్రశ్నను పంపడం వలన DNS-over-HTTPS సర్వర్కు దగ్గరగా ఉన్న హోస్ట్ చిరునామా తిరిగి వస్తుంది. . CDNని ఉపయోగిస్తున్నప్పుడు DNS-over-HTTPని ఉపయోగించడం వలన కంటెంట్ బదిలీ ప్రారంభానికి ముందు వాస్తవంగా ఎటువంటి ఆలస్యం జరగలేదని ఆచరణలో పరీక్షలో తేలింది (వేగవంతమైన కనెక్షన్ల కోసం, ఆలస్యం 10 మిల్లీసెకన్లకు మించదు మరియు స్లో కమ్యూనికేషన్ ఛానెల్లలో కూడా వేగవంతమైన పనితీరు గమనించబడింది. ) CDN పరిష్కారానికి క్లయింట్ స్థాన సమాచారాన్ని అందించడానికి EDNS క్లయింట్ సబ్నెట్ పొడిగింపు యొక్క ఉపయోగం కూడా పరిగణించబడుతుంది.
మూలం: opennet.ru