Mozilla Company ugovor sa trećim dobavljačima DNS preko HTTPS-a (DoH, DNS preko HTTPS-a) za Firefox. Pored ranije ponuđenih DNS servera CloudFlare (“https://1.1.1.1/dns-query”) i (), Comcast usluga će također biti uključena u postavke (https://doh.xfinity.com/dns-query). Aktivirajte DoH i odaberite u postavkama mrežne veze.
Podsjetimo da je Firefox 77 uključivao DNS preko HTTPS testa sa svakim klijentom koji šalje 10 testnih zahtjeva i automatski bira DoH provajdera. Ova provjera je morala biti onemogućena u izdanju , pošto se pretvorio u svojevrsni DDoS napad na NextDNS servis, koji nije mogao da se nosi sa opterećenjem.
DoH provajderi koji se nude u Firefoxu biraju se prema pouzdanim DNS razrješavačima, prema kojima DNS operater može koristiti primljene podatke za rješavanje samo kako bi osigurao rad usluge, ne smije pohranjivati logove duže od 24 sata, ne može prenositi podatke trećim licima i dužan je otkriti informacije o metode obrade podataka. Usluga također mora pristati da neće cenzurirati, filtrirati, ometati ili blokirati DNS saobraćaj, osim u situacijama predviđenim zakonom.
Događaji koji se odnose na DNS-over-HTTPS također se mogu primijetiti Apple će implementirati podršku za DNS-over-HTTPS i DNS-over-TLS u budućim izdanjima iOS-a 14 i... macOS 11 i takođe podrška za ekstenzije WebExtension u Safariju.
Podsjetimo da DoH može biti koristan za sprječavanje curenja informacija o traženim imenima hosta preko DNS servera provajdera, suzbijanje MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), suzbijanje blokiranja na DNS nivou (DoH ne može zamijeniti VPN u području zaobilaženja blokiranja implementiranog na DPI nivou) ili za organizaciju rada u slučaju da je nemoguće direktno pristupiti DNS serverima (na primjer, kada se radi preko proxyja). Dok se u normalnoj situaciji DNS zahtjevi šalju direktno na DNS servere definisane u konfiguraciji sistema, u slučaju DoH-a, zahtjev za određivanje IP adrese hosta se inkapsulira u HTTPS promet i šalje na HTTP server, na kojem je razrješavač obrađuje zahtjeve kroz Web API. Trenutni DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i servera, ali ne štiti promet od presretanja i ne garantuje povjerljivost zahtjeva.
izvor: opennet.ru
