Компания Mozilla споразумение с трети доставчици DNS през HTTPS (DoH, DNS през HTTPS) за Firefox. В допълнение към предлаганите по-рано DNS сървъри CloudFlare („https://1.1.1.1/dns-query“) и (), услугата Comcast също ще бъде включена в настройките (https://doh.xfinity.com/dns-query). Активирайте DoH и изберете в настройките на мрежовата връзка.
Нека си спомним, че Firefox 77 включваше DNS през HTTPS тест, като всеки клиент изпращаше 10 тестови заявки и автоматично избираше DoH доставчик. Тази проверка трябваше да бъде деактивирана при изданието , тъй като се превърна в вид DDoS атака срещу услугата NextDNS, която не можа да се справи с натоварването.
Доставчиците на DoH, предлагани във Firefox, са избрани според към надеждни DNS резолвери, според които DNS операторът може да използва данните, получени за резолюция, само за да осигури работата на услугата, не трябва да съхранява регистрационни файлове за повече от 24 часа, не може да прехвърля данни на трети страни и е длъжен да разкрива информация за методи за обработка на данни. Услугата също трябва да се съгласи да не цензурира, филтрира, намесва или блокира DNS трафика, освен в ситуации, предвидени от закона.
Събития, свързани с DNS-over-HTTPS, също могат да бъдат отбелязани Apple ще внедри поддръжка за DNS-over-HTTPS и DNS-over-TLS в бъдещи версии на iOS 14 и macOS 11, както и поддръжка за разширения WebExtension в Safari.
Спомнете си, че DoH може да бъде полезно за предотвратяване на изтичане на информация за заявени имена на хостове през DNS сървърите на доставчиците, борба с MITM атаки и подправяне на DNS трафик (например при свързване към обществен Wi-Fi), противодействие на блокирането на ниво DNS (DoH не може да замени VPN в областта на заобикалянето на блокиране, реализирано на ниво DPI) или за организиране на работа в случай, че е невъзможно да се осъществи директен достъп до DNS сървъри (например при работа чрез прокси). Докато в нормална ситуация DNS заявките се изпращат директно до DNS сървърите, дефинирани в системната конфигурация, в случай на DoH заявката за определяне на IP адреса на хоста се капсулира в HTTPS трафик и се изпраща до HTTP сървъра, на който резолверът обработва заявки чрез уеб API. Настоящият стандарт DNSSEC използва криптиране само за удостоверяване на клиента и сървъра, но не защитава трафика от прихващане и не гарантира поверителността на заявките.
Източник: opennet.ru