Awọn Difelopa Firefox nipa ipari ti atilẹyin idanwo fun DNS lori HTTPS (DoH, DNS lori HTTPS) ati aniyan lati mu imọ-ẹrọ yii ṣiṣẹ nipasẹ aiyipada fun awọn olumulo AMẸRIKA ni opin Oṣu Kẹsan. Iṣiṣẹ naa yoo ṣee ṣe ni ilọsiwaju, ni ibẹrẹ fun ogorun diẹ ti awọn olumulo, ati ti ko ba si awọn iṣoro, diėdiė n pọ si si 100%. Ni kete ti AMẸRIKA ba ti bo, DoH yoo ni imọran fun ifisi ni awọn orilẹ-ede miiran.
Awọn idanwo ti a ṣe ni gbogbo ọdun fihan igbẹkẹle ati iṣẹ ṣiṣe to dara, ati tun jẹ ki o ṣee ṣe lati ṣe idanimọ diẹ ninu awọn ipo nibiti DoH le ja si awọn iṣoro ati dagbasoke awọn solusan lati yika wọn (fun apẹẹrẹ, pipinka. pẹlu iṣapeye ijabọ ni awọn nẹtiwọọki ifijiṣẹ akoonu, awọn iṣakoso obi ati awọn agbegbe inu DNS ti ile-iṣẹ).
Pataki ti fifi ẹnọ kọ nkan ijabọ DNS jẹ iṣiro bi ipin pataki pataki ni aabo awọn olumulo, nitorinaa o pinnu lati mu DoH ṣiṣẹ nipasẹ aiyipada, ṣugbọn ni ipele akọkọ nikan fun awọn olumulo lati Amẹrika. Lẹhin ti mu ṣiṣẹ DoH, olumulo yoo gba ikilọ kan ti yoo gba laaye, ti o ba fẹ, lati kọ lati kan si awọn olupin DoH DNS ti aarin ati pada si ero ibile ti fifiranṣẹ awọn ibeere ti a ko fiweranṣẹ si olupin DNS ti olupese (dipo awọn amayederun pinpin ti awọn ipinnu DNS, DoH nlo abuda si iṣẹ DoH kan pato, eyiti a le kà ni aaye ikuna kan).
Ti DoH ba ti muu ṣiṣẹ, awọn eto iṣakoso obi ati awọn nẹtiwọọki ajọ ti o lo nẹtiwọki inu-nikan eto orukọ DNS lati yanju awọn adirẹsi intranet ati awọn agbalejo ile-iṣẹ le jẹ idaru. Lati yanju awọn iṣoro pẹlu iru awọn ọna ṣiṣe, eto awọn sọwedowo ti ṣafikun ti o mu DoH ṣiṣẹ laifọwọyi. Awọn sọwedowo ni a ṣe ni gbogbo igba ti ẹrọ aṣawakiri ti ṣe ifilọlẹ tabi nigbati a ba rii iyipada subnet kan.
Ipadabọ aifọwọyi si lilo ipinnu ẹrọ ṣiṣe boṣewa tun pese ti awọn ikuna ba waye lakoko ipinnu nipasẹ DoH (fun apẹẹrẹ, ti wiwa nẹtiwọọki pẹlu olupese DoH ba ni idaru tabi awọn ikuna waye ninu awọn amayederun rẹ). Itumọ iru awọn sọwedowo bẹ jẹ ibeere, nitori ko si ẹnikan ti o ṣe idiwọ awọn ikọlu ti o ṣakoso iṣẹ ti olupinnu tabi ti o lagbara lati dabaru pẹlu ijabọ lati ṣe adaṣe iru ihuwasi lati mu fifi ẹnọ kọ nkan ti ijabọ DNS. A yanju iṣoro naa nipa fifi ohun kan “DoH nigbagbogbo” kun si awọn eto (aiṣedeede laiparuwo), nigbati o ba ṣeto, tiipa laifọwọyi ko lo, eyiti o jẹ adehun ti o tọ.
Lati ṣe idanimọ awọn olupinnu ile-iṣẹ, awọn ibugbe ipele akọkọ aiṣedeede (TLDs) ni a ṣayẹwo ati pe olupinnu eto da awọn adirẹsi intranet pada. Lati pinnu boya awọn iṣakoso obi ti ṣiṣẹ, a ṣe igbiyanju lati yanju orukọ exampleadultsite.com ati pe ti abajade ko baamu IP gangan, a gba pe idinamọ akoonu agbalagba n ṣiṣẹ ni ipele DNS. Awọn adirẹsi IP Google ati YouTube tun jẹ ayẹwo bi awọn ami lati rii boya wọn ti rọpo nipasẹ restrict.youtube.com, forcefesearch.google.com ati restrictmoderate.youtube.com. Mozilla afikun se kan nikan igbeyewo ogun , eyiti awọn ISPs ati awọn iṣẹ iṣakoso obi le lo bi asia lati mu DoH kuro (ti a ko ba rii agbalejo, Firefox npa DoH kuro).
Ṣiṣẹ nipasẹ iṣẹ DoH kan kan tun le ja si awọn iṣoro pẹlu iṣapeye ijabọ ni awọn nẹtiwọọki ifijiṣẹ akoonu ti o dọgbadọgba ijabọ nipa lilo DNS (olupin DNS nẹtiwọọki CDN n ṣe agbejade esi ti o gba sinu akọọlẹ adirẹsi ipinnu ati pese agbalejo to sunmọ lati gba akoonu naa). Fifiranṣẹ ibeere DNS kan lati ọdọ olupinu ti o sunmọ olumulo ni iru awọn abajade CDN ni ipadabọ adirẹsi ti agbalejo ti o sunmọ olumulo naa, ṣugbọn fifiranṣẹ ibeere DNS kan lati ọdọ ipinnu aarin yoo da adirẹsi olupin ti o sunmọ julọ si olupin DNS-over-HTTPS. . Idanwo ni iṣe fihan pe lilo DNS-over-HTTP nigba lilo CDN yori si fere ko si awọn idaduro ṣaaju ibẹrẹ ti gbigbe akoonu (fun awọn asopọ iyara, awọn idaduro ko kọja 10 milliseconds, ati paapaa iṣẹ ṣiṣe yiyara ni a ṣe akiyesi lori awọn ikanni ibaraẹnisọrọ ti o lọra. ). Lilo Ifaagun Subnet Onibara EDNS ni a tun gbero lati pese alaye ipo alabara si olupinnu CDN.
Jẹ ki a ranti pe DoH le jẹ iwulo fun idilọwọ awọn n jo ti alaye nipa awọn orukọ agbalejo ti o beere nipasẹ awọn olupin DNS ti awọn olupese, koju awọn ikọlu MITM ati jija ijabọ DNS, didi idena ni ipele DNS, tabi fun siseto iṣẹ ni iṣẹlẹ ti o jẹ. Ko ṣee ṣe lati wọle si awọn olupin DNS taara (fun apẹẹrẹ, nigba ṣiṣẹ nipasẹ aṣoju). Ti o ba wa ni ipo deede awọn ibeere DNS ni a firanṣẹ taara si awọn olupin DNS ti o ṣalaye ninu iṣeto eto, lẹhinna ninu ọran DoH, ibeere lati pinnu adiresi IP agbalejo naa ni a fi sinu ijabọ HTTPS ati firanṣẹ si olupin HTTP, nibiti awọn ilana ipinnu. awọn ibeere nipasẹ API Wẹẹbu. Boṣewa DNSSEC ti o wa tẹlẹ nlo fifi ẹnọ kọ nkan nikan lati jẹri alabara ati olupin, ṣugbọn ko daabobo ijabọ lati interception ati pe ko ṣe iṣeduro asiri awọn ibeere.
Lati mu DoH ṣiṣẹ ni nipa: konfigi, o gbọdọ yi iye ti network.trr.mode oniyipada, eyiti o ti ni atilẹyin lati Firefox 60. Iye kan ti 0 mu DoH ṣiṣẹ patapata; 1 - DNS tabi DoH ti lo, eyikeyi ti o yara; 2 - DoH jẹ lilo nipasẹ aiyipada, ati pe a lo DNS bi aṣayan isubu; 3 - DoH nikan ni a lo; 4 - ipo digi ninu eyiti DoH ati DNS ti lo ni afiwe. Nipa aiyipada, olupin CloudFlare DNS ti lo, ṣugbọn o le yipada nipasẹ paramita network.trr.uri, fun apẹẹrẹ, o le ṣeto “https://dns.google.com/experimental” tabi “https://9.9.9.9 .XNUMX/dns-ibeere"
orisun: opennet.ru