Companyia Mozilla соглашение с третьим провайдеров DNS поверх HTTPS (DoH, DNS over HTTPS) для Firefox. Помимо ранее предлагавшихся DNS-серверов CloudFlare («https://1.1.1.1/dns-query») и (), в настройки также будет включён сервис Comcast (https://doh.xfinity.com/dns-query). Активировать DoH и выбрать a la configuració de connexió de xarxa.
Напомним, что в Firefox 77 была включена тестовая проверка DNS over HTTPS с отправкой 10 пробных запросов каждым клиентом и автоматическим выбором провайдера DoH. Данную проверку пришлось отключить в выпуске , так как она превратилось в подобие DDoS-атаки на сервис NextDNS, который не справился с нагрузкой.
Предлагаемые в Firefox провайдеры DoH отбираются в соответствии с a solucionadors de DNS de confiança, segons els quals l'operador de DNS pot utilitzar les dades rebudes per a la resolució només per garantir el funcionament del servei, no ha d'emmagatzemar registres durant més de 24 hores, no pot transferir dades a tercers i està obligat a revelar informació sobre mètodes de tractament de dades. El servei també ha d'acceptar no censurar, filtrar, interferir o bloquejar el trànsit DNS, excepte en les situacions previstes per la llei.
Из связанных с DNS-over-HTTPS событий также можно отметить компании Apple реализовать поддержку DNS-over-HTTPS и DNS-over-TLS в будущих выпусках iOS 14 и macOS 11, а также поддержку дополнений в формате WebExtension в Safari.
Recordem que DoH pot ser útil per prevenir filtracions d'informació sobre els noms d'amfitrió sol·licitats a través dels servidors DNS dels proveïdors, combatre els atacs MITM i la falsificació del trànsit DNS (per exemple, quan es connecta a una xarxa Wi-Fi pública), contrarestar el bloqueig al DNS. nivell (DoH no pot substituir una VPN a l'àrea d'obviació del bloqueig implementat a nivell de DPI) o per organitzar el treball si és impossible accedir directament als servidors DNS (per exemple, quan es treballa a través d'un proxy). Si en una situació normal les sol·licituds DNS s'envien directament als servidors DNS definits a la configuració del sistema, aleshores, en el cas de DoH, la sol·licitud per determinar l'adreça IP de l'amfitrió s'encapsula en el trànsit HTTPS i s'envia al servidor HTTP, on el resolutor processa sol·licituds mitjançant l'API web. L'estàndard DNSSEC existent només utilitza el xifratge per autenticar el client i el servidor, però no protegeix el trànsit de la intercepció i no garanteix la confidencialitat de les sol·licituds.
Font: opennet.ru