Firefox-ontwikkelaars het die uitbreiding van die gebruik van DNS oor HTTPS (DoH, DNS oor HTTPS)-modus aangekondig, wat by verstek vir gebruikers van Kanada geaktiveer sal word (voorheen is DoH slegs by verstek vir die Verenigde State gebruik). Die insluiting van DoH vir gebruikers van Kanada word in verskeie stadiums verdeel: op 20 Julie sal DoH vir 1% van gebruikers van Kanada geaktiveer word, en as daar geen onvoorsiene probleme is nie, sal dekking teen die einde van September tot 100% verhoog word .
Die oorgang van Kanadese Firefox-gebruikers na DoH word uitgevoer met die deelname van die CIRA (Canadian Internet Registration Authority), wat die ontwikkeling van die internet in Kanada reguleer en verantwoordelik is vir die "ca"-topvlakdomein. CIRA het ook by die Trusted Recursive Resolver (TRR)-program aangesluit en is ingesluit onder die DNS-oor-HTTPS-verskaffers wat in Firefox beskikbaar is.
Nadat DoH geaktiveer is, sal 'n waarskuwing op die gebruiker se stelsel vertoon word, wat dit moontlik maak om, indien verlang, te weier om na DoH oor te skakel en voort te gaan om die tradisionele skema te gebruik om ongeënkripteerde navrae na die verskaffer se DNS-bediener te stuur. U kan die verskaffer verander of DoH deaktiveer in die netwerkverbindinginstellings. Benewens CIRA DoH-bedieners, kan u Cloudflare- en NextDNS-dienste kies.
Die DoH-verskaffers wat in Firefox aangebied word, word gekies in ooreenstemming met die vereistes vir betroubare DNS-resoleerders, waarvolgens die DNS-operateur die data wat ontvang word vir oplossing kan gebruik slegs om die werking van die diens te verseker, moet nie logs vir meer as 24 uur stoor nie, en kan nie data aan derde partye oordra nie en word vereis om dataverwerkingspraktyke bekend te maak. Die diens moet ook daartoe verbind om nie DNS-verkeer te sensor, filter, inmeng of blokkeer nie, behalwe soos deur die wet vereis word.
Onthou dat DoH nuttig kan wees om lekkasies van inligting oor versoekte gasheername deur die DNS-bedieners van verskaffers te voorkom, MITM-aanvalle en DNS-verkeerspoofing te bekamp (byvoorbeeld wanneer u aan openbare Wi-Fi koppel), blokkering op die DNS-vlak teenwerk (DoH) kan nie VPN vervang op die gebied van blokkering wat op DPI-vlak geïmplementeer is omseil nie) of om werk te organiseer in geval dit onmoontlik is om direk toegang tot DNS-bedieners te verkry (byvoorbeeld wanneer u deur 'n instaanbediener werk). Terwyl DNS-versoeke normaalweg direk na die DNS-bedieners gestuur word wat in die stelselkonfigurasie gedefinieer word, in die geval van DoH, word die versoek om die gasheer-IP-adres te bepaal in HTTPS-verkeer ingekapsuleer en na die HTTP-bediener gestuur, waarop die oplosser versoeke verwerk via die Web API. Die huidige DNSSEC-standaard gebruik enkripsie slegs om die kliënt en bediener te verifieer, maar beskerm nie verkeer teen onderskepping nie en waarborg nie die vertroulikheid van versoeke nie.
Bron: opennet.ru