Кампанія Mozilla пагадненне з трэцім правайдэраў DNS па-над HTTPS (DoH, DNS over HTTPS) для Firefox. Апроч раней прапанаваных DNS-сервераў CloudFlare ("https://1.1.1.1/dns-query") і (), у настройкі таксама будзе ўключаны сэрвіс Comcast (https://doh.xfinity.com/dns-query). Актываваць DoH і абраць у наладах сеткавага злучэння.
Нагадаем, што ў Firefox 77 была ўключаная тэставая праверка DNS over HTTPS з адпраўкай 10 выпрабавальных запытаў кожным кліентам і аўтаматычным выбарам правайдэра DoH. Дадзеную праверку прыйшлося адключыць у выпуску , Бо яна ператварылася ў падабенства DDoS-напады на сэрвіс NextDNS, які не зладзіўся з нагрузкай.
Прапанаваныя ў Firefox правайдэры DoH адбіраюцца ў адпаведнасці з да годных DNS-рэзалверам, у адпаведнасці з якімі DNS-аператар можа выкарыстоўваць атрыманыя для рэзалвінгу дадзеныя толькі для забеспячэння працы сэрвісу, не павінен захоўваць логі даўжэй 24 гадзін, не можа перадаваць дадзеныя трэцім асобам і абавязаны расчыняць звесткі аб метадах апрацоўкі дадзеных. Сэрвіс таксама павінен даць абавязацельствы не цэнзураваць, не фільтраваць, не ўмешвацца і не блакаваць DNS-трафік, за выключэннем сітуацый, прадугледжаных заканадаўствам.
З звязаных з DNS-over-HTTPS падзей таксама можна адзначыць кампаніі Apple рэалізаваць падтрымку DNS-over-HTTPS і DNS-over-TLS у будучых выпусках iOS 14 і macOS 11, а таксама падтрымку дадаткаў у фармаце WebExtension у Safari.
Нагадаем, што DoH можа апынуцца карысным для выключэння ўцечак звестак аб запытаных імёнах хастоў праз DNS-серверы правайдэраў, барацьбы з MITM-атакамі і падменай DNS-трафіку (напрыклад, пры падлучэнні да публічных Wi-Fi), супрацьстаяння блакаванням на ўзроўні DNS (DoH не можа замяніць VPN у вобласці абыходу блакіровак, рэалізаваных на ўзроўні DPI) або для арганізацыі працы ў выпадку немагчымасці прамога звароту да DNS-серверам (напрыклад, пры працы праз проксі). Калі ў звычайнай сітуацыі DNS-запыты напроста адпраўляюцца на вызначаныя ў канфігурацыі сістэмы DNS-серверы, то ў выпадку DoH запыт на вызначэнне IP-адрасы хаста інкапсулюецца ў трафік HTTPS і адпраўляецца на HTTP-сервер, на якім рэзалвер апрацоўвае запыты праз Web API. Існуючы стандарт DNSSEC выкарыстоўвае шыфраванне толькі для аўтэнтыфікацыі кліента і сервера, але не абараняе трафік ад перахопу і не гарантуе канфідэнцыйнасць запытаў.
Крыніца: opennet.ru