Firefox Geliştiricileri HTTPS üzerinden DNS (DoH, HTTPS üzerinden DNS) için test desteğinin tamamlanması ve Eylül ayı sonunda bu teknolojinin ABD kullanıcıları için varsayılan olarak etkinleştirilmesi niyeti hakkında. Etkinleştirme, başlangıçta kullanıcıların yüzde birkaçı için aşamalı olarak gerçekleştirilecek ve herhangi bir sorun yoksa kademeli olarak %100'e kadar artırılacak. ABD kapsandıktan sonra DoH'un diğer ülkelere dahil edilmesi değerlendirilecektir.
Yıl boyunca gerçekleştirilen testler, hizmetin güvenilirliğini ve iyi performansını ortaya koyarken, aynı zamanda DoH'un sorunlara yol açabileceği bazı durumların belirlenmesine ve bunları aşmak için çözümler geliştirilmesine (örneğin, demonte edilmiş) olanak sağladı. içerik dağıtım ağlarında, ebeveyn denetimlerinde ve kurumsal dahili DNS bölgelerinde trafik optimizasyonu ile).
DNS trafiğini şifrelemenin önemi, kullanıcıları korumada temel olarak önemli bir faktör olarak değerlendirildi, bu nedenle DoH'nin varsayılan olarak etkinleştirilmesine karar verildi, ancak ilk aşamada yalnızca ABD'deki kullanıcılar için. DoH'yi etkinleştirdikten sonra kullanıcı, istenirse merkezi DoH DNS sunucularıyla iletişim kurmayı reddetmesine ve sağlayıcının DNS sunucusuna (DNS çözümleyicilerinin dağıtılmış altyapısı yerine) şifrelenmemiş istekler göndermeye yönelik geleneksel şemaya geri dönmesine olanak tanıyan bir uyarı alacaktır. DoH, tek bir hata noktası olarak değerlendirilebilecek belirli bir DoH hizmetine bağlanmayı kullanır).
DoH etkinleştirilirse intranet adreslerini ve kurumsal ana bilgisayarları çözümlemek için yalnızca dahili ağ DNS adı yapısını kullanan ebeveyn kontrol sistemleri ve kurumsal ağlar kesintiye uğrayabilir. Bu tür sistemlerdeki sorunları çözmek için DoH'yi otomatik olarak devre dışı bırakan bir kontrol sistemi eklenmiştir. Kontroller, tarayıcı her başlatıldığında veya bir alt ağ değişikliği algılandığında gerçekleştirilir.
DoH aracılığıyla çözümleme sırasında hatalar meydana gelirse (örneğin, DoH sağlayıcısındaki ağ kullanılabilirliği kesintiye uğrarsa veya altyapısında hatalar meydana gelirse), standart işletim sistemi çözümleyicisini kullanmaya otomatik dönüş de sağlanır. Çözümleyicinin çalışmasını kontrol eden veya trafiğe müdahale edebilen saldırganların, DNS trafiğinin şifrelenmesini devre dışı bırakmak için benzer davranışları simüle etmesini kimse engellemediğinden, bu tür kontrollerin anlamı sorgulanabilir. Sorun, ayarlara "DoH her zaman" öğesinin eklenmesiyle (sessizce etkin değil) çözüldü, ayarlandığında otomatik kapatma uygulanmaz ki bu makul bir uzlaşmadır.
Kurumsal çözümleyicileri tanımlamak için tipik olmayan birinci düzey alanlar (TLD'ler) kontrol edilir ve sistem çözümleyici intranet adreslerini döndürür. Ebeveyn denetimlerinin etkin olup olmadığını belirlemek için exampleadultsite.com adı çözümlenmeye çalışılır ve sonuç gerçek IP ile eşleşmiyorsa DNS düzeyinde yetişkinlere yönelik içerik engellemenin aktif olduğu kabul edilir. Google ve YouTube IP adresleri de, kısıtlama.youtube.com,forcesafesearch.google.com ve kısıtlamamoderate.youtube.com ile değiştirilip değiştirilmediğini görmek için işaret olarak kontrol edilir. Ek Mozilla tek bir test ana bilgisayarı uygulamak ISS'ler ve ebeveyn kontrolü hizmetleri DoH'yi devre dışı bırakmak için bayrak olarak kullanabilir (ana bilgisayar algılanmazsa Firefox DoH'u devre dışı bırakır).
Tek bir DoH hizmeti üzerinden çalışmak, DNS kullanarak trafiği dengeleyen içerik dağıtım ağlarında trafik optimizasyonunda da potansiyel olarak sorunlara yol açabilir (CDN ağının DNS sunucusu, çözümleyici adresini dikkate alarak bir yanıt oluşturur ve içeriği almak için en yakın ana bilgisayarı sağlar). Bu tür CDN'lerde kullanıcıya en yakın çözümleyiciden bir DNS sorgusu göndermek, kullanıcıya en yakın ana bilgisayarın adresinin döndürülmesiyle sonuçlanır, ancak merkezi bir çözümleyiciden bir DNS sorgusunun gönderilmesi, HTTPS üzerinden DNS sunucusuna en yakın ana bilgisayar adresini döndürür. . Uygulamada yapılan testler, CDN kullanırken HTTP üzerinden DNS kullanımının içerik aktarımının başlamasından önce neredeyse hiç gecikmeye yol açmadığını gösterdi (hızlı bağlantılar için gecikmeler 10 milisaniyeyi aşmadı ve yavaş iletişim kanallarında daha da hızlı performans gözlemlendi) ). EDNS İstemci Alt Ağı uzantısının kullanımının, istemci konum bilgilerini CDN çözümleyicisine sağladığı da değerlendirildi.
DoH'un, talep edilen ana bilgisayar adları hakkında sağlayıcıların DNS sunucuları üzerinden bilgi sızıntısını önlemek, MITM saldırıları ve DNS trafiğini yanıltmak ile mücadele etmek, DNS düzeyinde engellemeye karşı koymak veya bir sorun olması durumunda işleri organize etmek için yararlı olabileceğini hatırlayalım. DNS sunucularına doğrudan erişim imkansızdır (örneğin, bir proxy üzerinden çalışırken). Normal bir durumda DNS istekleri doğrudan sistem yapılandırmasında tanımlanan DNS sunucularına gönderilirse, DoH durumunda, ana bilgisayarın IP adresini belirleme isteği HTTPS trafiğinde kapsüllenir ve çözümleyicinin işlediği HTTP sunucusuna gönderilir. Web API'sı aracılığıyla istekler. Mevcut DNSSEC standardı şifrelemeyi yalnızca istemci ve sunucunun kimliğini doğrulamak için kullanır, ancak trafiği müdahaleye karşı korumaz ve isteklerin gizliliğini garanti etmez.
About:config'te DoH'yi etkinleştirmek için, Firefox 60'tan beri desteklenen network.trr.mode değişkeninin değerini değiştirmeniz gerekir. 0 değeri DoH'yi tamamen devre dışı bırakır; 1 - Hangisi daha hızlıysa DNS veya DoH kullanılır; 2 - DoH varsayılan olarak kullanılır ve DNS bir geri dönüş seçeneği olarak kullanılır; 3 - yalnızca DoH kullanılır; 4 - DoH ve DNS'nin paralel olarak kullanıldığı yansıtma modu. Varsayılan olarak CloudFlare DNS sunucusu kullanılır ancak network.trr.uri parametresi üzerinden değiştirilebilir, örneğin “https://dns.google.com/experimental” veya “https://9.9.9.9” ayarını yapabilirsiniz. .XNUMX/dns sorgusu "
Kaynak: opennet.ru