Firefox dasturchilar HTTPS orqali DNS (DoH, HTTPS orqali DNS) qoʻllab-quvvatlashni sinovdan oʻtkazish tugallangani va sentabr oyi oxirida ushbu texnologiyani AQSh foydalanuvchilari uchun sukut boʻyicha yoqish niyati haqida. Faollashtirish bosqichma-bosqich, dastlab foydalanuvchilarning bir necha foizi uchun amalga oshiriladi, agar muammo bo'lmasa, asta-sekin 100% gacha ko'tariladi. AQSh qamrab olinsa, DoH boshqa mamlakatlarga qo'shilishi uchun ko'rib chiqiladi.
Yil davomida o'tkazilgan testlar xizmatning ishonchliligi va yaxshi ishlashini ko'rsatdi, shuningdek, DoH muammolarga olib kelishi mumkin bo'lgan ba'zi vaziyatlarni aniqlash va ularni chetlab o'tish uchun echimlarni ishlab chiqish imkonini berdi (masalan, demontaj qilingan). kontentni yetkazib berish tarmoqlarida, ota-ona nazorati va korporativ ichki DNS zonalarida trafikni optimallashtirish bilan).
DNS-trafikni shifrlashning ahamiyati foydalanuvchilarni himoya qilishning asosiy omili sifatida baholanadi, shuning uchun DoH-ni sukut bo'yicha yoqishga qaror qilindi, lekin birinchi bosqichda faqat AQShdan kelgan foydalanuvchilar uchun. DoH-ni faollashtirgandan so'ng, foydalanuvchi, agar xohlasa, markazlashtirilgan DoH DNS-serverlari bilan bog'lanishni rad etish va provayderning DNS serveriga shifrlanmagan so'rovlarni yuborishning an'anaviy sxemasiga qaytish imkonini beradigan ogohlantirish oladi (DNS-rezolyutsiyalarning taqsimlangan infratuzilmasi o'rniga, DoH ma'lum bir DoH xizmatiga ulanishdan foydalanadi, bu bitta nosozlik nuqtasi deb hisoblanishi mumkin).
Agar DoH faollashtirilgan bo'lsa, intranet manzillari va korporativ xostlarni hal qilish uchun faqat ichki tarmoq DNS nom tuzilishidan foydalanadigan ota-ona nazorati tizimlari va korporativ tarmoqlar buzilishi mumkin. Bunday tizimlar bilan bog'liq muammolarni hal qilish uchun DoHni avtomatik ravishda o'chirib qo'yadigan tekshiruvlar tizimi qo'shildi. Tekshirishlar brauzer har safar ishga tushirilganda yoki pastki tarmoq o'zgarishi aniqlanganda amalga oshiriladi.
DoH orqali hal qilishda nosozliklar yuzaga kelsa (masalan, DoH provayderi bilan tarmoq mavjudligi buzilgan yoki uning infratuzilmasida nosozliklar yuzaga kelgan bo'lsa) standart operatsion tizim rezolyutsiyasidan foydalanishga avtomatik qaytish ham ta'minlanadi. Bunday tekshiruvlarning ma'nosi shubhali, chunki hech kim rezolyutorning ishlashini boshqaradigan yoki trafikka aralashishga qodir bo'lgan tajovuzkorlarga DNS trafigini shifrlashni o'chirish uchun shunga o'xshash xatti-harakatlarni simulyatsiya qilishdan to'sqinlik qilmaydi. Muammo sozlamalarga "DoH har doim" bandini qo'shish orqali hal qilindi (jimgina faol emas), o'rnatilganda avtomatik o'chirish qo'llanilmaydi, bu oqilona kelishuvdir.
Korxona hal qiluvchilarni aniqlash uchun atipik birinchi darajali domenlar (TLD) tekshiriladi va tizim rezolyutsiyasi intranet manzillarini qaytaradi. Ota-ona nazorati yoqilganligini aniqlash uchun exampleadultsite.com nomini hal qilishga harakat qilinadi va natija haqiqiy IPga mos kelmasa, DNS darajasida kattalar uchun kontentni blokirovka qilish faol deb hisoblanadi. Google va YouTube IP-manzillari, shuningdek, cheklovlar.youtube.com, forcesafesearch.google.com va Restrictmoderate.youtube.com bilan almashtirilganligini aniqlash uchun belgi sifatida tekshiriladi. Qo'shimcha Mozilla bitta test xostini amalga oshirish , qaysi provayderlar va ota-ona nazorati xizmatlari DoHni o'chirish uchun bayroq sifatida foydalanishi mumkin (agar xost aniqlanmasa, Firefox DoHni o'chiradi).
Yagona DoH xizmati orqali ishlash DNS-dan foydalangan holda trafikni muvozanatlashtiradigan kontent yetkazib berish tarmoqlarida trafikni optimallashtirish bilan bog'liq muammolarga ham olib kelishi mumkin (CDN tarmog'ining DNS serveri hal qiluvchi manzilni hisobga olgan holda javob ishlab chiqaradi va kontentni qabul qilish uchun eng yaqin xostni taqdim etadi). Bunday CDN-larda foydalanuvchiga eng yaqin bo'lgan rezolyutordan DNS so'rovini yuborish foydalanuvchiga eng yaqin xost manzilini qaytarishga olib keladi, ammo markazlashtirilgan hal qiluvchidan DNS so'rovini yuborish DNS-over-HTTPS serveriga eng yaqin xost manzilini qaytaradi. . Amaliyotdagi sinov shuni ko'rsatdiki, CDN-dan foydalanganda DNS-over-HTTP-dan foydalanish kontentni uzatish boshlanishidan oldin deyarli kechikishlarga olib kelmadi (tez ulanishlar uchun kechikishlar 10 millisekunddan oshmadi va sekin aloqa kanallarida undan ham tezroq ishlash kuzatildi. ). EDNS Client Subnet kengaytmasidan foydalanish CDN-resolveriga mijozning joylashuvi haqidagi ma'lumotlarni taqdim etish uchun ham ko'rib chiqildi.
Eslatib o'tamiz, DoH provayderlarning DNS serverlari orqali so'ralgan xost nomlari haqidagi ma'lumotlarning sizib chiqishini oldini olish, MITM hujumlari va DNS trafigini aldashga qarshi kurashish, DNS darajasida blokirovkaga qarshi kurashish yoki u sodir bo'lgan taqdirda ishni tashkil qilish uchun foydali bo'lishi mumkin. DNS serverlariga to'g'ridan-to'g'ri kirish mumkin emas (masalan, proksi-server orqali ishlashda). Agar normal holatda DNS so'rovlari to'g'ridan-to'g'ri tizim konfiguratsiyasida belgilangan DNS serverlariga yuborilsa, DoH holatida xostning IP-manzilini aniqlash so'rovi HTTPS trafigiga qamrab olinadi va HTTP serveriga yuboriladi, bu erda hal qiluvchi qayta ishlanadi. Web API orqali so'rovlar. Mavjud DNSSEC standarti faqat mijoz va serverni autentifikatsiya qilish uchun shifrlashdan foydalanadi, lekin trafikni ushlab qolishdan himoya qilmaydi va so'rovlarning maxfiyligini kafolatlamaydi.
DoH ni about:config da yoqish uchun Firefox 60 dan beri qo'llab-quvvatlanadigan network.trr.mode o'zgaruvchisining qiymatini o'zgartirishingiz kerak. 0 qiymati DoHni butunlay o'chirib qo'yadi; 1 - qaysi biri tezroq bo'lsa, DNS yoki DoH ishlatiladi; 2 - DoH sukut bo'yicha ishlatiladi va DNS zaxira variant sifatida ishlatiladi; 3 - faqat DoH ishlatiladi; 4 - DoH va DNS parallel ravishda ishlatiladigan aks ettirish rejimi. Odatiy bo'lib, CloudFlare DNS serveridan foydalaniladi, lekin uni network.trr.uri parametri orqali o'zgartirish mumkin, masalan, siz "https://dns.google.com/experimental" yoki "https://9.9.9.9" ni o'rnatishingiz mumkin. .XNUMX/dns-so'rovi "
Manba: opennet.ru