Firefox dasturchilar AQSh foydalanuvchilari uchun sukut bo'yicha HTTPS orqali DNS (DoH, HTTPS orqali DNS) rejimini yoqish haqida. DNS-trafikni shifrlash foydalanuvchilarni himoya qilishning asosiy omili hisoblanadi. Bugundan boshlab AQSH foydalanuvchilari tomonidan barcha yangi oʻrnatishlarda sukut boʻyicha DoH yoqilgan boʻladi. Mavjud AQSh foydalanuvchilari bir necha hafta ichida DoH xizmatiga o'tishlari rejalashtirilgan. Evropa Ittifoqi va boshqa mamlakatlarda hozircha sukut bo'yicha DoHni faollashtiring .
DoH faollashtirilgandan so'ng, foydalanuvchiga ogohlantirish ko'rsatiladi, bu agar xohlasa, markazlashtirilgan DoH DNS serverlari bilan bog'lanishni rad etish va provayderning DNS serveriga shifrlanmagan so'rovlarni yuborishning an'anaviy sxemasiga qaytish imkonini beradi. DNS-rezolyutsiyalarining taqsimlangan infratuzilmasi o'rniga, DoH ma'lum bir DoH xizmatiga bog'lanishdan foydalanadi, bu yagona nosozlik nuqtasi deb hisoblanishi mumkin. Hozirgi vaqtda ish ikkita DNS provayderi orqali taklif etiladi - CloudFlare (standart) va .
Provayderni o'zgartiring yoki DoHni o'chiring tarmoq ulanishi sozlamalarida. Masalan, Google serverlariga kirish uchun “https://dns.google/dns-query” muqobil DoH serverini belgilashingiz mumkin, “https://dns.quad9.net/dns-query” - Quad9 va “https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config shuningdek, network.trr.mode sozlamalarini ham taqdim etadi, bu orqali siz DoH ish rejimini o'zgartirishingiz mumkin: 0 qiymati DoHni butunlay o'chirib qo'yadi; 1 - qaysi biri tezroq bo'lsa, DNS yoki DoH ishlatiladi; 2 - DoH sukut bo'yicha ishlatiladi va DNS zaxira variant sifatida ishlatiladi; 3 - faqat DoH ishlatiladi; 4 - DoH va DNS parallel ravishda ishlatiladigan aks ettirish rejimi.
Eslatib o'tamiz, DoH provayderlarning DNS serverlari orqali so'ralgan xost nomlari haqidagi ma'lumotlarning sizib chiqishini oldini olish, MITM hujumlari va DNS trafigini aldashga qarshi (masalan, umumiy Wi-Fi tarmog'iga ulanishda), DNS blokirovkasiga qarshi kurashishda foydali bo'lishi mumkin. darajasida (DoH DPI darajasida amalga oshirilgan blokirovkani chetlab o'tish sohasida VPN o'rnini bosa olmaydi) yoki DNS serverlariga to'g'ridan-to'g'ri kirish imkoni bo'lmasa (masalan, proksi-server orqali ishlashda) ishlarni tashkil qilish uchun. Agar normal holatda DNS so'rovlari to'g'ridan-to'g'ri tizim konfiguratsiyasida belgilangan DNS serverlariga yuborilsa, DoH holatida xostning IP-manzilini aniqlash so'rovi HTTPS trafigiga qamrab olinadi va HTTP serveriga yuboriladi, bu erda hal qiluvchi qayta ishlanadi. Web API orqali so'rovlar. Mavjud DNSSEC standarti faqat mijoz va serverni autentifikatsiya qilish uchun shifrlashdan foydalanadi, lekin trafikni ushlab qolishdan himoya qilmaydi va so'rovlarning maxfiyligini kafolatlamaydi.
Firefox-da taqdim etilgan DoH provayderlarini tanlash uchun, ishonchli DNS hal qiluvchilarga, unga ko'ra DNS operatori olingan ma'lumotlardan faqat xizmat ishlashini ta'minlash uchun foydalanishi mumkin, jurnallarni 24 soatdan ortiq saqlamasligi, ma'lumotlarni uchinchi shaxslarga o'tkaza olmaydi va ma'lumotlarni oshkor qilishi shart. ma'lumotlarni qayta ishlash usullari. Xizmat, shuningdek, qonunda nazarda tutilgan hollar bundan mustasno, DNS trafigini tsenzura, filtrlash, aralashmaslik yoki bloklamaslikka rozi bo'lishi kerak.
DoH ehtiyotkorlik bilan ishlatilishi kerak. Masalan, Rossiya Federatsiyasida Firefox-da taqdim etilgan standart DoH serveri mozilla.cloudflare-dns.com bilan bog'langan 104.16.248.249 va 104.16.249.249 IP manzillari, в Stavropol sudining 10.06.2013 yil XNUMX iyundagi talabiga binoan.
DoH shuningdek, ota-ona nazorati tizimlari, korporativ tizimlardagi ichki nom maydonlariga kirish, kontentni etkazib berishni optimallashtirish tizimlarida marshrut tanlash va noqonuniy kontentni tarqatish va ulardan foydalanishga qarshi kurashish sohasida sud qarorlarini bajarish kabi sohalarda muammolarni keltirib chiqarishi mumkin. voyaga etmaganlar. Bunday muammolarni chetlab o'tish uchun ma'lum sharoitlarda DoHni avtomatik ravishda o'chirib qo'yadigan tekshirish tizimi joriy etildi va sinovdan o'tkazildi.
Korxona hal qiluvchilarni aniqlash uchun atipik birinchi darajali domenlar (TLD) tekshiriladi va tizim rezolyutsiyasi intranet manzillarini qaytaradi. Ota-ona nazorati yoqilganligini aniqlash uchun exampleadultsite.com nomini hal qilishga harakat qilinadi va natija haqiqiy IPga mos kelmasa, DNS darajasida kattalar uchun kontentni blokirovka qilish faol deb hisoblanadi. Google va YouTube IP-manzillari, shuningdek, cheklovlar.youtube.com, forcesafesearch.google.com va Restrictmoderate.youtube.com bilan almashtirilganligini aniqlash uchun belgi sifatida tekshiriladi. Ushbu tekshiruvlar rezolyutorning ishlashini boshqaradigan yoki trafikka aralashishga qodir bo'lgan tajovuzkorlarga DNS trafigini shifrlashni o'chirish uchun bunday xatti-harakatni simulyatsiya qilish imkonini beradi.
Yagona DoH xizmati orqali ishlash DNS-dan foydalangan holda trafikni muvozanatlashtiradigan kontent yetkazib berish tarmoqlarida trafikni optimallashtirish bilan bog'liq muammolarga ham olib kelishi mumkin (CDN tarmog'ining DNS serveri hal qiluvchi manzilni hisobga olgan holda javob ishlab chiqaradi va kontentni qabul qilish uchun eng yaqin xostni taqdim etadi). Bunday CDN-larda foydalanuvchiga eng yaqin bo'lgan rezolyutordan DNS so'rovini yuborish foydalanuvchiga eng yaqin xost manzilini qaytarishga olib keladi, ammo markazlashtirilgan hal qiluvchidan DNS so'rovini yuborish DNS-over-HTTPS serveriga eng yaqin xost manzilini qaytaradi. . Amaliyotdagi sinov shuni ko'rsatdiki, CDN-dan foydalanganda DNS-over-HTTP-dan foydalanish kontentni uzatish boshlanishidan oldin deyarli kechikishlarga olib kelmadi (tez ulanishlar uchun kechikishlar 10 millisekunddan oshmadi va sekin aloqa kanallarida undan ham tezroq ishlash kuzatildi. ). EDNS Client Subnet kengaytmasidan foydalanish CDN-resolveriga mijozning joylashuvi haqidagi ma'lumotlarni taqdim etish uchun ham ko'rib chiqildi.
Manba: opennet.ru