Таҳиягарони Firefox дар бораи анҷоми санҷиши дастгирии DNS тавассути HTTPS (DoH, DNS бар HTTPS) ва нияти фаъол кардани ин технология ба таври нобаёнӣ барои корбарони ИМА дар охири моҳи сентябр. Фаъолсозӣ тадриҷан, дар аввал барои чанд фоизи корбарон амалӣ карда мешавад ва дар сурати мавҷуд набудани мушкилот, тадриҷан то 100% афзоиш меёбад. Пас аз фаро гирифтани ИМА, DoH барои дохил шудан ба дигар кишварҳо баррасӣ карда мешавад.
Санҷишҳое, ки дар тӯли сол гузаронида шуданд, эътимоднокӣ ва иҷрои хуби хидматро нишон доданд ва инчунин имкон доданд, ки баъзе ҳолатҳое муайян карда шаванд, ки DH метавонад ба мушкилот оварда расонад ва роҳҳои бартараф кардани онҳо (масалан, ҷудошуда) таҳия карда шавад. бо оптимизатсияи трафик дар шабакаҳои интиқоли мундариҷа, назорати волидайн ва минтақаҳои дохилии DNS корпоративӣ).
Аҳамияти рамзгузории трафики DNS ҳамчун омили муҳими ҳифзи корбарон арзёбӣ мешавад, аз ин рӯ тасмим гирифта шуд, ки DoH ба таври нобаёнӣ фаъол карда шавад, аммо дар марҳилаи аввал танҳо барои корбарони Иёлоти Муттаҳида. Пас аз фаъолсозии DoH, корбар огоҳӣ мегирад, ки агар хоҳиш дошта бошад, аз тамос бо серверҳои мутамаркази DNS даст кашад ва ба нақшаи анъанавии ирсоли дархостҳои рамзнашуда ба сервери DNS провайдер баргардад (ба ҷои инфрасохтори тақсимшудаи ҳалли DNS, DoH ҳатмӣ ба хидмати мушаххаси DoH-ро истифода мебарад, ки онро як нуқтаи ноком ҳисобидан мумкин аст).
Агар DoH фаъол карда шавад, системаҳои назорати волидайн ва шабакаҳои корпоративӣ, ки сохтори номи DNS-и шабакаи дохилиро барои ҳалли суроғаҳои интранет ва ҳостҳои корпоративӣ истифода мебаранд, метавонанд халалдор шаванд. Барои ҳалли мушкилот бо чунин системаҳо, системаи чекҳо илова карда шудааст, ки DoH-ро ба таври худкор хомӯш мекунад. Санҷишҳо ҳар дафъае, ки браузер оғоз мешавад ё ҳангоми муайян кардани тағйироти зершабака анҷом дода мешавад.
Бозгашти худкор ба истифодаи ҳалли стандартии системаи оператсионии стандартӣ инчунин ҳангоми ҳалли мушкилот тавассути DoH таъмин карда мешавад (масалан, агар дастрасии шабака бо провайдери DoH халалдор шавад ё нокомиҳо дар инфрасохтори он рух диҳанд). Маънои ин гуна санҷишҳо шубҳанок аст, зеро ҳеҷ кас ба ҳамлагарон, ки кори резолверро назорат мекунанд ё қодиранд ба трафик халал расонанд, аз тақлид кардани рафтори шабеҳ барои хомӯш кардани рамзгузории трафики DNS монеъ намешавад. Мушкилот тавассути илова кардани банди "DoH ҳамеша" ба танзимот ҳал карда шуд (хомӯшона ғайрифаъол), ҳангоми насб, хомӯшии худкор истифода намешавад, ки ин як созиши оқилона аст.
Барои муайян кардани ҳалкунандаҳои корхона доменҳои дараҷаи аввал (TLD) тафтиш карда мешаванд ва ҳалкунандаи система суроғаҳои интранетро бармегардонад. Барои муайян кардани он, ки оё назорати волидайн фаъол аст, кӯшиш карда мешавад, ки номи exampleadultsite.com ҳал карда шавад ва агар натиҷа ба IP воқеӣ мувофиқат накунад, ҳисоб карда мешавад, ки бастани мундариҷаи калонсолон дар сатҳи DNS фаъол аст. Суроғаҳои IP-и Google ва YouTube инчунин ҳамчун аломатҳо тафтиш карда мешаванд, то бубинанд, ки оё онҳо бо маҳдуд.youtube.com, forcesafesearch.google.com ва restrikmoderate.youtube.com иваз карда шудаанд. Mozilla иловагӣ як мизбони санҷиширо амалӣ кунед , ки провайдерҳо ва хадамоти назорати волидайн метавонанд ҳамчун парчам барои хомӯш кардани DoH истифода баранд (агар мизбон ошкор нашавад, Firefox DoH-ро ғайрифаъол мекунад).
Кор тавассути як хидмати ягонаи DoH инчунин метавонад боиси мушкилоти оптимизатсияи трафик дар шабакаҳои интиқоли мундариҷа, ки трафикро бо истифода аз DNS мувозинат мекунад (сервери DNS-и шабакаи CDN бо дарназардошти суроғаи ҳалкунанда вокуниш тавлид мекунад ва хости наздиктаринро барои қабули мундариҷа таъмин мекунад). Фиристодани дархости DNS аз ҳалкунанда ба корбар наздиктарин дар чунин CDNҳо боиси баргардонидани суроғаи хости ба корбар наздиктарин мегардад, аммо фиристодани дархости DNS аз ҳалкунандаи мутамарказ суроғаи ҳостро ба сервери DNS-бар-HTTPS наздиктарин бармегардонад . Санҷишҳо дар амал нишон доданд, ки истифодаи DNS-over-HTTP ҳангоми истифодаи CDN то оғози интиқоли мундариҷа амалан ба таъхир нарасидааст (барои пайвастҳои зуд таъхирҳо аз 10 миллисония зиёд набуданд ва иҷрои ҳатто тезтар дар каналҳои сусти иртиботӣ мушоҳида шудааст. ). Истифодаи васеъшавии зершабакаи EDNS Client инчунин барои пешниҳоди маълумоти ҷойгиршавии муштарӣ ба ҳалли CDN баррасӣ шуд.
Ёдовар мешавем, ки DoH метавонад барои пешгирии ихроҷи маълумот дар бораи номҳои хостҳои дархостшуда тавассути серверҳои DNS-и провайдерҳо, мубориза бар зидди ҳамлаҳои MITM ва қаллобии трафики DNS, муқовимат ба блоккунӣ дар сатҳи DNS ё ташкили кор дар сурати пайдо шудани он муфид бошад. дастрасии мустақим ба серверҳои DNS ғайриимкон аст (масалан, ҳангоми кор тавассути прокси). Агар дар ҳолати муқаррарӣ дархостҳои DNS мустақиман ба серверҳои DNS, ки дар конфигуратсияи система муайян шудаанд, фиристода шаванд, пас дар ҳолати DoH, дархост барои муайян кардани суроғаи IP-и ҳост дар трафики HTTPS фаро гирифта мешавад ва ба сервери HTTP фиристода мешавад, ки дар он ҳалкунанда коркард мекунад. дархостҳо тавассути Web API. Стандарти мавҷудаи DNSSEC рамзгузориро танҳо барои тасдиқи аутентификатсияи муштарӣ ва сервер истифода мебарад, аммо трафикро аз боздошт муҳофизат намекунад ва махфияти дархостҳоро кафолат намедиҳад.
Барои фаъол кардани DoH дар about:config, шумо бояд арзиши тағирёбандаи network.trr.mode, ки аз Firefox 60 дастгирӣ мешавад, тағир диҳед. Қимати 0 DoH-ро комилан ғайрифаъол мекунад; 1 - DNS ё DoH истифода мешавад, кадомаш тезтар аст; 2 - DoH бо нобаёнӣ истифода мешавад ва DNS ҳамчун варианти бозгашт истифода мешавад; 3 - танҳо DoH истифода мешавад; 4 - ҳолати оинасозӣ, ки дар он DoH ва DNS дар баробари истифода мешаванд. Бо нобаёнӣ, сервери DNS CloudFlare истифода мешавад, аммо онро тавассути параметри network.trr.uri тағир додан мумкин аст, масалан, шумо метавонед "https://dns.google.com/experimental" ё "https://9.9.9.9" -ро танзим кунед. .XNUMX/dns-query "
Манбаъ: opennet.ru