Mga Developer ng Firefox tungkol sa pagkumpleto ng pagsubok sa suporta para sa DNS sa pamamagitan ng HTTPS (DoH, DNS sa paglipas ng HTTPS) at ang intensyon na paganahin ang teknolohiyang ito bilang default para sa mga user ng US sa katapusan ng Setyembre. Ang pag-activate ay isasagawa nang progresibo, sa simula para sa ilang porsyento ng mga gumagamit, at kung walang mga problema, unti-unting tumataas sa 100%. Kapag nasakop na ang US, isasaalang-alang ang DoH para isama sa ibang mga bansa.
Ang mga pagsubok na isinagawa sa buong taon ay nagpakita ng pagiging maaasahan at mahusay na pagganap ng serbisyo, at ginawang posible upang matukoy ang ilang mga sitwasyon kung saan ang DoH ay maaaring humantong sa mga problema at bumuo ng mga solusyon upang iwasan ang mga ito (halimbawa, na-disassemble na may pag-optimize ng trapiko sa mga network ng paghahatid ng nilalaman, mga kontrol ng magulang at mga panloob na DNS zone ng kumpanya).
Ang kahalagahan ng pag-encrypt ng trapiko ng DNS ay tinasa bilang isang pangunahing mahalagang kadahilanan sa pagprotekta sa mga user, kaya napagpasyahan na paganahin ang DoH bilang default, ngunit sa unang yugto para lang sa mga user mula sa United States. Pagkatapos i-activate ang DoH, makakatanggap ang user ng babala na magbibigay-daan, kung ninanais, na tumanggi na makipag-ugnayan sa mga sentralisadong DNS server ng DoH at bumalik sa tradisyunal na pamamaraan ng pagpapadala ng mga hindi naka-encrypt na kahilingan sa DNS server ng provider (sa halip na isang ipinamahagi na imprastraktura ng mga DNS resolver, Gumagamit ang DoH ng pagbubuklod sa isang partikular na serbisyo ng DoH , na maaaring ituring na isang punto ng pagkabigo).
Kung i-activate ang DoH, maaaring maputol ang mga parental control system at corporate network na gumagamit ng internal network-only na DNS name structure upang lutasin ang mga intranet address at corporate host. Upang malutas ang mga problema sa naturang mga sistema, isang sistema ng mga pagsusuri ay idinagdag na awtomatikong hindi pinapagana ang DoH. Isinasagawa ang mga pagsusuri sa tuwing ilulunsad ang browser o kapag may nakitang pagbabago sa subnet.
Ang awtomatikong pagbabalik sa paggamit ng karaniwang operating system na solver ay ibinibigay din kung ang mga pagkabigo ay nangyari sa panahon ng paglutas sa pamamagitan ng DoH (halimbawa, kung ang pagkakaroon ng network sa provider ng DoH ay naabala o may mga pagkabigo sa imprastraktura nito). Ang kahulugan ng mga naturang pagsusuri ay kaduda-dudang, dahil walang pumipigil sa mga umaatake na kumokontrol sa pagpapatakbo ng solver o may kakayahang makagambala sa trapiko mula sa pagtulad sa katulad na gawi upang hindi paganahin ang pag-encrypt ng trapiko ng DNS. Nalutas ang problema sa pamamagitan ng pagdaragdag ng item na "DoH always" sa mga setting (tahimik na hindi aktibo), kapag nakatakda, hindi inilalapat ang awtomatikong pagsara, na isang makatwirang kompromiso.
Upang matukoy ang mga solver ng enterprise, ang mga hindi tipikal na first-level domain (TLD) ay sinusuri at ang system resolver ay nagbabalik ng mga intranet address. Upang matukoy kung ang mga kontrol ng magulang ay pinagana, isang pagtatangka na lutasin ang pangalan na exampleadultsite.com at kung ang resulta ay hindi tumutugma sa aktwal na IP, ito ay itinuturing na ang pang-adultong pag-block ng nilalaman ay aktibo sa antas ng DNS. Ang mga IP address ng Google at YouTube ay sinusuri din bilang mga palatandaan upang makita kung napalitan na ang mga ito ng restrict.youtube.com, forcesafesearch.google.com at restrictmoderate.youtube.com. Karagdagang Mozilla magpatupad ng isang host ng pagsubok , na magagamit ng mga ISP at parental control services bilang flag para i-disable ang DoH (kung hindi natukoy ang host, idi-disable ng Firefox ang DoH).
Ang pagtatrabaho sa pamamagitan ng isang serbisyo ng DoH ay maaari ding potensyal na humantong sa mga problema sa pag-optimize ng trapiko sa mga network ng paghahatid ng nilalaman na nagbabalanse ng trapiko gamit ang DNS (ang DNS server ng CDN network ay bumubuo ng isang tugon na isinasaalang-alang ang address ng solver at nagbibigay ng pinakamalapit na host na tumanggap ng nilalaman). Ang pagpapadala ng DNS query mula sa solver na pinakamalapit sa user sa naturang mga CDN ay nagreresulta sa pagbabalik ng address ng host na pinakamalapit sa user, ngunit ang pagpapadala ng DNS query mula sa isang sentralisadong solver ay magbabalik ng host address na pinakamalapit sa DNS-over-HTTPS server . Ang pagsubok sa pagsasanay ay nagpakita na ang paggamit ng DNS-over-HTTP kapag gumagamit ng CDN ay humantong sa halos walang mga pagkaantala bago magsimula ang paglipat ng nilalaman (para sa mabilis na koneksyon, ang mga pagkaantala ay hindi lalampas sa 10 millisecond, at mas mabilis na pagganap ay naobserbahan sa mabagal na mga channel ng komunikasyon. ). Ang paggamit ng extension ng EDNS Client Subnet ay isinasaalang-alang din upang magbigay ng impormasyon ng lokasyon ng kliyente sa solver ng CDN.
Alalahanin natin na ang DoH ay maaaring maging kapaki-pakinabang para sa pagpigil sa mga pagtagas ng impormasyon tungkol sa mga hinihiling na pangalan ng host sa pamamagitan ng mga DNS server ng mga provider, paglaban sa mga pag-atake ng MITM at panggagaya ng trapiko ng DNS, pag-iwas sa pagharang sa antas ng DNS, o para sa pag-aayos ng trabaho kung sakaling ito ay imposibleng direktang ma-access ang mga DNS server (halimbawa, kapag nagtatrabaho sa pamamagitan ng isang proxy). Kung sa isang normal na sitwasyon, ang mga kahilingan ng DNS ay direktang ipinadala sa mga DNS server na tinukoy sa configuration ng system, kung gayon sa kaso ng DoH, ang kahilingan upang matukoy ang IP address ng host ay naka-encapsulate sa trapiko ng HTTPS at ipinadala sa HTTP server, kung saan nagpoproseso ang solver. mga kahilingan sa pamamagitan ng Web API. Ang umiiral na pamantayan ng DNSSEC ay gumagamit lamang ng pag-encrypt upang patotohanan ang kliyente at server, ngunit hindi pinoprotektahan ang trapiko mula sa pagharang at hindi ginagarantiyahan ang pagiging kumpidensyal ng mga kahilingan.
Upang paganahin ang DoH sa about:config, dapat mong baguhin ang halaga ng network.trr.mode variable, na suportado mula noong Firefox 60. Ang halaga ng 0 ay ganap na hindi pinapagana ang DoH; 1 - DNS o DoH ang ginagamit, alinman ang mas mabilis; 2 - Ginagamit ang DoH bilang default, at ginagamit ang DNS bilang opsyong fallback; 3 - DoH lamang ang ginagamit; 4 - mirroring mode kung saan magkaparehas na ginagamit ang DoH at DNS. Bilang default, ginagamit ang CloudFlare DNS server, ngunit maaari itong baguhin sa pamamagitan ng network.trr.uri parameter, halimbawa, maaari mong itakda ang βhttps://dns.google.com/experimentalβ o βhttps://9.9.9.9 .XNUMX/dns-query "
Pinagmulan: opennet.ru