Firefox Geliştiricileri ABD kullanıcıları için varsayılan olarak HTTPS üzerinden DNS (DoH, HTTPS üzerinden DNS) modunun etkinleştirilmesi hakkında. DNS trafiğinin şifrelenmesi, kullanıcıların korunmasında temel olarak önemli bir faktör olarak kabul edilir. Bugünden itibaren ABD'li kullanıcılar tarafından yapılan tüm yeni kurulumlarda DoH varsayılan olarak etkin olacak. Mevcut ABD kullanıcılarının birkaç hafta içinde DoH'ye geçmesi planlanıyor. Avrupa Birliği ve diğer ülkelerde DoH'yi şimdilik varsayılan olarak etkinleştirin .
DoH'yi etkinleştirdikten sonra kullanıcıya, istenirse merkezi DoH DNS sunucularıyla iletişim kurmayı reddetmesine ve sağlayıcının DNS sunucusuna şifrelenmemiş sorgular göndermeye yönelik geleneksel şemaya geri dönmesine olanak tanıyan bir uyarı görüntülenir. DoH, dağıtılmış bir DNS çözümleyici altyapısı yerine, tek bir hata noktası olarak değerlendirilebilecek belirli bir DoH hizmetine bağlanma kullanır. Şu anda, çalışma iki DNS sağlayıcısı aracılığıyla sunulmaktadır: CloudFlare (varsayılan) ve .
Sağlayıcıyı değiştirin veya DoH'yi devre dışı bırakın ağ bağlantısı ayarlarında. Örneğin, Google sunucularına erişmek için alternatif bir DoH sunucusu "https://dns.google/dns-query", "https://dns.quad9.net/dns-query" - Quad9 ve "https:/" belirtebilirsiniz. /doh .opendns.com/dns-query" - OpenDNS. About:config ayrıca DoH çalışma modunu değiştirebileceğiniz network.trr.mode ayarını da sağlar: 0 değeri DoH'u tamamen devre dışı bırakır; 1 - Hangisi daha hızlıysa DNS veya DoH kullanılır; 2 - Varsayılan olarak DoH kullanılır ve geri dönüş seçeneği olarak DNS kullanılır; 3 - yalnızca DoH kullanılır; 4 - DoH ve DNS'nin paralel olarak kullanıldığı yansıtma modu.
DoH'nin, sağlayıcıların DNS sunucuları aracılığıyla istenen ana bilgisayar adlarıyla ilgili bilgi sızıntılarını önlemek, MITM saldırıları ve DNS trafiği sahtekarlığıyla mücadele etmek (örneğin, halka açık Wi-Fi'ye bağlanırken), DNS düzeyinde (DoH) engellemeye karşı koymak için yararlı olabileceğini hatırlayın. DPI düzeyinde uygulanan engellemeyi atlama alanında VPN'in yerini alamaz) veya DNS sunucularına doğrudan erişmenin imkansız olması durumunda (örneğin, bir proxy aracılığıyla çalışırken) işi organize etmek için. Normalde DNS istekleri doğrudan sistem yapılandırmasında tanımlanan DNS sunucularına gönderilirken, DoH durumunda, ana bilgisayar IP adresini belirleme isteği HTTPS trafiği içinde kapsüllenir ve çözümleyicinin istekleri üzerinden işlediği HTTP sunucusuna gönderilir. Web API'sı. Mevcut DNSSEC standardı, şifrelemeyi yalnızca istemci ve sunucunun kimliğini doğrulamak için kullanır, ancak trafiği müdahaleye karşı korumaz ve isteklerin gizliliğini garanti etmez.
Firefox'ta sunulan DoH sağlayıcılarını seçmek için, DNS operatörünün alınan verileri yalnızca hizmetin çalışmasını sağlamak için çözümleme amacıyla kullanabileceği, günlükleri 24 saatten fazla saklamaması gerektiği, verileri üçüncü taraflara aktaramayacağı ve ilgili bilgileri açıklamakla yükümlü olduğu güvenilir DNS çözümleyicilere veri işleme yöntemleri. Hizmet ayrıca yasaların öngördüğü durumlar dışında DNS trafiğini sansürlememeyi, filtrelememeyi, engellememeyi veya engellememeyi kabul etmelidir.
DoH dikkatli kullanılmalıdır. Örneğin, Rusya Federasyonu'nda, Firefox'ta sunulan varsayılan DoH sunucusu mozilla.cloudflare-dns.com ile ilişkili 104.16.248.249 ve 104.16.249.249 IP adresleri, в Stavropol mahkemesinin 10.06.2013 Haziran XNUMX tarihli talebi üzerine.
DoH ayrıca ebeveyn kontrol sistemleri, kurumsal sistemlerde dahili ad alanlarına erişim, içerik dağıtım optimizasyon sistemlerinde rota seçimi ve yasa dışı içerik dağıtımı ve istismarıyla mücadele alanında mahkeme kararlarına uyum gibi alanlarda da sorunlara neden olabilir. küçükler. Bu tür sorunları aşmak için DoH'yi belirli koşullar altında otomatik olarak devre dışı bırakan bir kontrol sistemi uygulandı ve test edildi.
Kurumsal çözümleyicileri tanımlamak için tipik olmayan birinci düzey alanlar (TLD'ler) kontrol edilir ve sistem çözümleyici intranet adreslerini döndürür. Ebeveyn denetimlerinin etkin olup olmadığını belirlemek için exampleadultsite.com adı çözümlenmeye çalışılır ve sonuç gerçek IP ile eşleşmiyorsa DNS düzeyinde yetişkinlere yönelik içerik engellemenin aktif olduğu kabul edilir. Google ve YouTube IP adresleri de, kısıtlama.youtube.com,forcesafesearch.google.com ve kısıtlamamoderate.youtube.com ile değiştirilip değiştirilmediğini görmek için işaret olarak kontrol edilir. Bu kontroller, çözümleyicinin çalışmasını kontrol eden veya trafiğe müdahale edebilen saldırganların, DNS trafiğinin şifrelenmesini devre dışı bırakmak üzere bu tür davranışları simüle etmelerine olanak tanır.
Tek bir DoH hizmeti üzerinden çalışmak, DNS kullanarak trafiği dengeleyen içerik dağıtım ağlarında trafik optimizasyonunda da potansiyel olarak sorunlara yol açabilir (CDN ağının DNS sunucusu, çözümleyici adresini dikkate alarak bir yanıt oluşturur ve içeriği almak için en yakın ana bilgisayarı sağlar). Bu tür CDN'lerde kullanıcıya en yakın çözümleyiciden bir DNS sorgusu göndermek, kullanıcıya en yakın ana bilgisayarın adresinin döndürülmesiyle sonuçlanır, ancak merkezi bir çözümleyiciden bir DNS sorgusunun gönderilmesi, HTTPS üzerinden DNS sunucusuna en yakın ana bilgisayar adresini döndürür. . Uygulamada yapılan testler, CDN kullanırken HTTP üzerinden DNS kullanımının içerik aktarımının başlamasından önce neredeyse hiç gecikmeye yol açmadığını gösterdi (hızlı bağlantılar için gecikmeler 10 milisaniyeyi aşmadı ve yavaş iletişim kanallarında daha da hızlı performans gözlemlendi) ). EDNS İstemci Alt Ağı uzantısının kullanımının, istemci konum bilgilerini CDN çözümleyicisine sağladığı da değerlendirildi.
Kaynak: opennet.ru