Распрацоўнікі Firefox абвясцілі аб пашырэнні ўжывання рэжыму DNS па-над HTTPS (DoH, DNS over HTTPS), які будзе ўключаны па змаўчанні для карыстачоў з Канады (раней DoH па змаўчанні ўжываўся толькі для ЗША). Уключэнне DoH для карыстальнікаў з Канады падзелена на некалькі этапаў: 20 ліпеня DoH будзе актываваны для 1% карыстальнікаў з Канады і калі не ўзнікне непрадбачаных праблем ахоп будзе даведзены да 100% да канца верасня.
Пераклад канадскіх карыстачоў Firefox на DoH праводзіцца пры ўдзеле арганізацыі CIRA (Canadian Internet Registration Authority), якая рэгулюе развіццё інтэрнэту ў Канадзе і якая адказвае за дамен верхняга ўзроўня "ca". Арганізацыя CIRA таксама падключылася да праграмы TRR (Trusted Recursive Resolver) і ўключана ў лік правайдэраў DNS-over-HTTPS, даступных у Firefox.
Пасля актывацыі DoH на сістэме карыстальніка будзе выведзена папярэджанне, якое дазваляе пры жаданні адмовіцца ад пераходу на DoH і працягнуць выкарыстанне традыцыйнай схемы адпраўкі незашыфраваных запытаў да DNS-сервера правайдэра. Змяніць правайдэра або адключыць DoH можна ў наладах сеткавага злучэння. Апроч DoH-сервераў CIRA можна абраць сэрвісы Cloudflare і NextDNS.
Прапанаваныя ў Firefox правайдэры DoH адбіраюцца ў адпаведнасці з патрабаваннямі да годных DNS-рэзалверам, у адпаведнасці з якімі DNS-аператар можа выкарыстаць атрымоўваныя для резолвинга дадзеныя толькі для забеспячэння працы сэрвісу, не павінен захоўваць логі даўжэй 24 гадзін, не можа перадаваць дадзеныя трэцім асобам. і павінен раскрываць звесткі аб метадах апрацоўкі дадзеных. Сэрвіс таксама павінен даць абавязацельствы не цэнзураваць, не фільтраваць, не ўмешвацца і не блакаваць DNS-трафік, за выключэннем сітуацый, прадугледжаных заканадаўствам.
Нагадаем, што DoH можа апынуцца карысным для выключэння ўцечак звестак аб запытаных імёнах хастоў праз DNS-серверы правайдэраў, барацьбы з MITM-атакамі і падменай DNS-трафіку (напрыклад, пры падлучэнні да публічных Wi-Fi), супрацьстаяння блакаванням на ўзроўні DNS (DoH не можа замяніць VPN у вобласці абыходу блакіровак, рэалізаваных на ўзроўні DPI) або для арганізацыі працы ў выпадку немагчымасці прамога звароту да DNS-серверам (напрыклад, пры працы праз проксі). Калі ў звычайнай сітуацыі DNS-запыты напроста адпраўляюцца на вызначаныя ў канфігурацыі сістэмы DNS-серверы, то ў выпадку DoH запыт на вызначэнне IP-адрасы хаста інкапсулюецца ў трафік HTTPS і адпраўляецца на HTTP-сервер, на якім рэзалвер апрацоўвае запыты праз Web API. Існуючы стандарт DNSSEC выкарыстоўвае шыфраванне толькі для аўтэнтыфікацыі кліента і сервера, але не абараняе трафік ад перахопу і не гарантуе канфідэнцыйнасць запытаў.
Крыніца: opennet.ru