Firefox programeri najavili su proširenje DNS-a preko HTTPS-a (DoH) moda, koji će po defaultu biti omogućen za korisnike u Kanadi (ranije je DoH bio samo za SAD). Omogućavanje DoH za kanadske korisnike podijeljeno je u nekoliko faza: 20. jula DoH će biti aktiviran za 1% kanadskih korisnika i, osim neočekivanih problema, pokrivenost će biti povećana na 100% do kraja septembra.
Prelazak kanadskih korisnika Firefoxa na DoH vrši se uz učešće CIRA-e (Canadian Internet Registration Authority), koja regulira razvoj interneta u Kanadi i odgovorna je za domen najvišeg nivoa “ca”. CIRA se također prijavila za TRR (Trusted Recursive Resolver) i jedan je od DNS-over-HTTPS provajdera dostupnih u Firefoxu.
Nakon aktiviranja DoH-a, na korisnikovom sistemu će se prikazati upozorenje, koje će po želji omogućiti odbijanje prijelaza na DoH i nastavak korištenja tradicionalne šeme slanja nešifriranih zahtjeva na DNS server provajdera. Možete promijeniti provajdera ili onemogućiti DoH u postavkama mrežne veze. Pored CIRA DoH servera, možete odabrati Cloudflare i NextDNS usluge.
DoH provajderi koji se nude u Firefoxu odabrani su u skladu sa zahtjevima za pouzdane DNS razrješače, prema kojima DNS operater može koristiti podatke primljene za rješavanje samo kako bi osigurao rad usluge, ne smije pohranjivati dnevnike duže od 24 sata i ne može prenosi podatke trećim licima i dužan je otkriti informacije o metodama obrade podataka. Usluga također mora pristati da neće cenzurirati, filtrirati, ometati ili blokirati DNS saobraćaj, osim u situacijama predviđenim zakonom.
Podsjetimo da DoH može biti koristan za sprječavanje curenja informacija o traženim imenima hosta preko DNS servera provajdera, suzbijanje MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), suzbijanje blokiranja na DNS nivou (DoH ne može zamijeniti VPN u području zaobilaženja blokiranja implementiranog na DPI nivou) ili za organizaciju rada u slučaju da je nemoguće direktno pristupiti DNS serverima (na primjer, kada se radi preko proxyja). Dok se u normalnoj situaciji DNS zahtjevi šalju direktno na DNS servere definisane u konfiguraciji sistema, u slučaju DoH-a, zahtjev za određivanje IP adrese hosta se inkapsulira u HTTPS promet i šalje na HTTP server, na kojem je razrješavač obrađuje zahtjeve kroz Web API. Trenutni DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i servera, ali ne štiti promet od presretanja i ne garantuje povjerljivost zahtjeva.
izvor: opennet.ru