Mozilla Maatskappy ooreenkoms met derde verskaffers DNS oor HTTPS (DoH, DNS oor HTTPS) vir Firefox. Benewens die voorheen aangebied DNS-bedieners CloudFlare ("https://1.1.1.1/dns-query") en (), sal die Comcast-diens ook by die instellings ingesluit word (https://doh.xfinity.com/dns-query). Aktiveer DoH en kies in die netwerkverbindinginstellings.
Kom ons onthou dat Firefox 77 'n DNS oor HTTPS-toets ingesluit het met elke kliënt wat 10 toetsversoeke stuur en outomaties 'n DoH-verskaffer kies. Hierdie tjek moes in vrystelling gedeaktiveer word , aangesien dit 'n soort DDoS-aanval op die NextDNS-diens geword het, wat nie die las kon hanteer nie.
Die DoH-verskaffers wat in Firefox aangebied word, word gekies volgens aan betroubare DNS-resoleerders, waarvolgens die DNS-operateur die data wat ontvang word vir resolusie slegs kan gebruik om die werking van die diens te verseker, nie logs vir meer as 24 uur mag stoor nie, nie data aan derde partye kan oordra nie en verplig is om inligting oor dataverwerkingsmetodes. Die diens moet ook instem om nie DNS-verkeer te sensor, filter, inmeng of blokkeer nie, behalwe in situasies wat deur wetgewing voorsien word.
Gebeurtenisse wat verband hou met DNS-oor-HTTPS kan ook opgemerk word Apple sal ondersteuning vir DNS-oor-HTTPS en DNS-oor-TLS in toekomstige uitgawes van iOS 14 en macOS 11 implementeer, sowel as ondersteuning vir WebExtension-uitbreidings in Safari.
Onthou dat DoH nuttig kan wees om lekkasies van inligting oor versoekte gasheername deur die DNS-bedieners van verskaffers te voorkom, MITM-aanvalle en DNS-verkeerspoofing te bekamp (byvoorbeeld wanneer u aan openbare Wi-Fi koppel), blokkering op die DNS-vlak teenwerk (DoH) kan nie VPN vervang op die gebied van blokkering wat op DPI-vlak geïmplementeer is omseil nie) of om werk te organiseer in geval dit onmoontlik is om direk toegang tot DNS-bedieners te verkry (byvoorbeeld wanneer u deur 'n instaanbediener werk). Terwyl DNS-versoeke normaalweg direk na die DNS-bedieners gestuur word wat in die stelselkonfigurasie gedefinieer word, in die geval van DoH, word die versoek om die gasheer-IP-adres te bepaal in HTTPS-verkeer ingekapsuleer en na die HTTP-bediener gestuur, waarop die oplosser versoeke verwerk via die Web API. Die huidige DNSSEC-standaard gebruik enkripsie slegs om die kliënt en bediener te verifieer, maar beskerm nie verkeer teen onderskepping nie en waarborg nie die vertroulikheid van versoeke nie.
Bron: opennet.ru