A Firefox fejlesztői bejelentették, hogy befejeződött a DNS HTTPS támogatáson keresztül (DoH) valamint szeptember végi szándéka ennek a technológiának az engedélyezésére alapértelmezés szerint Firefox felhasználók számára az Egyesült Államokban.
A felvételre fokozatosan kerül sor, mivel kezdetben csak néhány felhasználó lesz, ezt követően problémák hiányában fokozatosan növekszik, amíg az Egyesült Államokban a felhasználók 100% -a nem rendelkezik ezzel a funkcióval. De ez nem csak a régióra jellemző, mivel az amerikai lefedettség teljesítése után. a más országokban történő megvalósítás is megfontolásra kerül.
Az év során elvégzett tesztek megmutatták a szolgáltatás megbízhatóságát és jó teljesítményét és feltártak néhány olyan helyzetet is, amelyekben a DoH problémákat generálhat és megoldásokat dolgozhat ki ezek megkerülésére (például a forgalom optimalizálásával kapcsolatos problémák a tartalomszolgáltató hálózatokban, a szülői felügyelet és a vállalati belső ellenőrzés).
A DNS-forgalom titkosításának fontosságát alapvetően fontos tényezőként értékelik a felhasználók védelmében, ezért úgy döntöttek, hogy alapértelmezés szerint engedélyezik a DoH-t, de az első szakaszban csak az amerikai felhasználók számára.
A DoH aktiválása után figyelmeztetést kap a felhasználó, amely lehetővé teszi, hogy megtagadja a központosított DoH DNS-kiszolgálókkal való kapcsolatfelvételt, és visszatérjen a titkosítatlan kérelmek szolgáltató DNS-kiszolgálójára történő elküldésének hagyományos sémájához (a DNS-megoldók elosztott infrastruktúrája helyett a DoH a DoH-szolgáltatáshoz kötést használ, amely egyetlen kudarcpont).
A DoH aktiválása esetén a szülői felügyeleti rendszerek és a vállalati hálózatok érintettek lehetnek, az intranetes címek és a vállalati gazdagépek fordításához csak a belső hálózat számára elérhető DNS-névstruktúrát használja.
A hasonló rendszerekkel kapcsolatos problémák megoldásához egy ellenőrző rendszert adtak hozzá, amely automatikusan letiltja a DoH-t. Az ellenőrzéseket a böngésző minden indításakor vagy az alhálózat változásának észlelésekor hajtják végre.
Automatikus visszatérés a standard megoldó használatához is biztosított operációs rendszer meghibásodása esetén, amikor a DoH-on keresztül oldják meg a problémát (például ha megsértik a hálózat elérhetőségét a DoH szolgáltatóval, vagy ha annak infrastruktúrájában vannak hibák)
Az ilyen ellenőrzések jelentése kétséges, mivel senki nem avatkozik bele azokba a támadókba, akik irányítják a megoldót, vagy zavarhatják a forgalmat, ezt a viselkedést szimulálják a DNS-forgalom titkosításának letiltásához.
A problémát úgy oldották meg, hogy a "DoH always" elemet hozzáadták a konfigurációhoz (alapértelmezés szerint nem aktív), konfigurálásakor nem alkalmazzák az automatikus kikapcsolást, ami ésszerű kompromisszum.
A vállalati megoldók meghatározásához ellenőrizni kell a kiugró legfelső szintű tartományokat (TLD) és az intranetes címek visszatérését a rendszermegoldó által.
Annak megállapításához, hogy a szülői felügyelet engedélyezve van-e, megpróbálják megoldani az exampleadultsite.com nevet, és ha az eredmény nem egyezik a tényleges IP-vel, akkor a felnőtteknek szánt tartalmat blokkoltnak tekintik a DNS szintjén.
Dolgozzon egyetlen DoH szolgáltatáson keresztül forgalomoptimalizálási problémákhoz is vezethet tartalomszolgáltató hálózatokon, amelyek egyensúlyban tartják a forgalmat a DNS használatával (a CDN DNS-kiszolgálója a resolver címe alapján választ generál, és a tartalom fogadásához legközelebbi állomást sugározza).
Ha DNS-lekérdezést küld a felhasználóhoz legközelebb álló felbontótól az ilyen CDN-címeken, akkor a felhasználóhoz legközelebb eső gazdagép címe jelenik meg, de a DNS-lekérdezés elküldése a központi felbontóból a DNS-kiszolgálóhoz legközelebb eső gazdagép címét adja vissza HTTPS-en keresztül.
A gyakorlati tesztek azt mutatták, hogy a DNS használata a HTTP-n keresztül a CDN használatakor gyakorlatilag nem eredményezett késést a tartalomátvitel előtt (a gyors kapcsolatoknál a késések nem haladták meg a 10 milliszekundumot, és a lassú kommunikációs csatornáknál még lassabb működés is megfigyelhető volt).
forrás: https://blog.mozilla.org/