Mga Developer ng Firefox tungkol sa pagpapagana ng DNS over HTTPS (DoH, DNS over HTTPS) mode bilang default para sa mga user ng US. Ang pag-encrypt ng trapiko ng DNS ay itinuturing na pangunahing mahalagang kadahilanan sa pagprotekta sa mga user. Simula ngayon, lahat ng bagong installation ng mga user ng US ay ipapagana ang DoH bilang default. Ang mga kasalukuyang gumagamit sa US ay nakatakdang ilipat sa DoH sa loob ng ilang linggo. Sa European Union at iba pang mga bansa, i-activate ang DoH bilang default sa ngayon .
Pagkatapos i-activate ang DoH, may ipapakitang babala sa user, na nagpapahintulot, kung ninanais, na tumanggi na makipag-ugnayan sa mga sentralisadong DoH DNS server at bumalik sa tradisyonal na pamamaraan ng pagpapadala ng mga hindi naka-encrypt na query sa DNS server ng provider. Sa halip na isang ipinamahagi na imprastraktura ng mga DNS resolver, ang DoH ay gumagamit ng isang binding sa isang partikular na serbisyo ng DoH, na maaaring ituring na isang punto ng pagkabigo. Sa kasalukuyan, ang trabaho ay inaalok sa pamamagitan ng dalawang DNS provider - CloudFlare (default) at .
Baguhin ang provider o huwag paganahin ang DoH sa mga setting ng koneksyon sa network. Halimbawa, maaari kang tumukoy ng alternatibong server ng DoH na “https://dns.google/dns-query” para ma-access ang mga server ng Google, “https://dns.quad9.net/dns-query” - Quad9 at “https:/ /doh .opendns.com/dns-query" - OpenDNS. Ang About:config ay nagbibigay din ng network.trr.mode na setting, kung saan maaari mong baguhin ang operating mode ng DoH: ganap na hindi pinapagana ng value na 0 ang DoH; 1 - DNS o DoH ang ginagamit, alinman ang mas mabilis; 2 - Ginagamit ang DoH bilang default, at ginagamit ang DNS bilang opsyong fallback; 3 - DoH lamang ang ginagamit; 4 - mirroring mode kung saan ang DoH at DNS ay ginagamit nang magkatulad.
Alalahanin na ang DoH ay maaaring maging kapaki-pakinabang para sa pagpigil sa mga paglabas ng impormasyon tungkol sa hiniling na mga pangalan ng host sa pamamagitan ng mga DNS server ng mga provider, paglaban sa mga pag-atake ng MITM at panggagaya sa trapiko ng DNS (halimbawa, kapag kumokonekta sa pampublikong Wi-Fi), pag-counter block sa antas ng DNS (DoH hindi maaaring palitan ang VPN sa lugar ng bypassing blocking na ipinatupad sa antas ng DPI) o para sa pag-aayos ng trabaho kung sakaling imposibleng direktang ma-access ang mga DNS server (halimbawa, kapag nagtatrabaho sa pamamagitan ng isang proxy). Habang nasa isang normal na sitwasyon, ang mga kahilingan ng DNS ay direktang ipinapadala sa mga DNS server na tinukoy sa configuration ng system, sa kaso ng DoH, ang kahilingan upang matukoy ang host IP address ay naka-encapsulate sa trapiko ng HTTPS at ipinadala sa HTTP server, kung saan ang solver. nagpoproseso ng mga kahilingan sa pamamagitan ng Web API. Ang kasalukuyang pamantayan ng DNSSEC ay gumagamit lamang ng pag-encrypt upang patotohanan ang kliyente at server, ngunit hindi pinoprotektahan ang trapiko mula sa pagharang at hindi ginagarantiyahan ang pagiging kumpidensyal ng mga kahilingan.
Para piliin ang mga provider ng DoH na inaalok sa Firefox, sa mga mapagkakatiwalaang DNS resolver, ayon sa kung saan magagamit lamang ng DNS operator ang data na natanggap para sa pagresolba upang matiyak ang pagpapatakbo ng serbisyo, hindi dapat mag-imbak ng mga log nang higit sa 24 na oras, hindi maaaring maglipat ng data sa mga third party, at kinakailangang magbunyag ng impormasyon tungkol sa mga pamamaraan ng pagproseso ng data. Ang serbisyo ay dapat ding mangako na hindi magse-censor, mag-filter, manghimasok, o harangan ang trapiko ng DNS, maliban kung kinakailangan ng batas.
Dapat gamitin nang may pag-iingat ang DoH. Halimbawa, sa Russian Federation, ang mga IP address na 104.16.248.249 at 104.16.249.249 na nauugnay sa default na DoH server na mozilla.cloudflare-dns.com na inaalok sa Firefox, в sa kahilingan ng korte ng Stavropol na may petsang Hunyo 10.06.2013, XNUMX.
Ang DoH ay maaari ding magdulot ng mga problema sa mga lugar tulad ng parental control system, pag-access sa mga panloob na namespace sa corporate system, pagpili ng ruta sa content delivery optimization system, at pagsunod sa mga utos ng hukuman sa larangan ng paglaban sa pamamahagi ng ilegal na nilalaman at pagsasamantala ng mga menor de edad. Upang maiwasan ang mga ganitong problema, isang sistema ng pagsusuri ang ipinatupad at nasubok na awtomatikong hindi pinapagana ang DoH sa ilalim ng ilang mga kundisyon.
Upang matukoy ang mga solver ng enterprise, ang mga hindi tipikal na first-level domain (TLD) ay sinusuri at ang system resolver ay nagbabalik ng mga intranet address. Upang matukoy kung ang mga kontrol ng magulang ay pinagana, isang pagtatangka na lutasin ang pangalan na exampleadultsite.com at kung ang resulta ay hindi tumutugma sa aktwal na IP, ito ay itinuturing na ang pang-adultong pag-block ng nilalaman ay aktibo sa antas ng DNS. Ang mga IP address ng Google at YouTube ay sinusuri din bilang mga palatandaan upang makita kung napalitan na ang mga ito ng restrict.youtube.com, forcesafesearch.google.com at restrictmoderate.youtube.com. Ang mga pagsusuring ito ay nagbibigay-daan sa mga umaatake na kumokontrol sa pagpapatakbo ng solver o may kakayahang makagambala sa trapiko na gayahin ang naturang gawi upang i-disable ang pag-encrypt ng trapiko ng DNS.
Ang pagtatrabaho sa pamamagitan ng isang serbisyo ng DoH ay maaari ding potensyal na humantong sa mga problema sa pag-optimize ng trapiko sa mga network ng paghahatid ng nilalaman na nagbabalanse ng trapiko gamit ang DNS (ang DNS server ng CDN network ay bumubuo ng isang tugon na isinasaalang-alang ang address ng solver at nagbibigay ng pinakamalapit na host na tumanggap ng nilalaman). Ang pagpapadala ng DNS query mula sa solver na pinakamalapit sa user sa naturang mga CDN ay nagreresulta sa pagbabalik ng address ng host na pinakamalapit sa user, ngunit ang pagpapadala ng DNS query mula sa isang sentralisadong solver ay magbabalik ng host address na pinakamalapit sa DNS-over-HTTPS server . Ang pagsubok sa pagsasanay ay nagpakita na ang paggamit ng DNS-over-HTTP kapag gumagamit ng CDN ay humantong sa halos walang mga pagkaantala bago magsimula ang paglipat ng nilalaman (para sa mabilis na koneksyon, ang mga pagkaantala ay hindi lalampas sa 10 millisecond, at mas mabilis na pagganap ay naobserbahan sa mabagal na mga channel ng komunikasyon. ). Ang paggamit ng extension ng EDNS Client Subnet ay isinasaalang-alang din upang magbigay ng impormasyon ng lokasyon ng kliyente sa solver ng CDN.
Pinagmulan: opennet.ru