Vývojáři Firefoxu oznámili rozšíření režimu DNS přes HTTPS (DoH), který bude standardně povolen pro uživatele v Kanadě (dříve bylo DoH výchozí pouze pro USA). Povolení DoH pro kanadské uživatele je rozděleno do několika fází: 20. července bude DoH aktivováno pro 1 % kanadských uživatelů a s výjimkou neočekávaných problémů bude pokrytí do konce září zvýšeno na 100 %.
Přechod kanadských uživatelů Firefoxu na DoH se provádí za účasti CIRA (Canadian Internet Registration Authority), která reguluje rozvoj internetu v Kanadě a je zodpovědná za doménu nejvyšší úrovně „ca“. CIRA se také přihlásila k TRR (Trusted Recursive Resolver) a je jedním z poskytovatelů DNS-over-HTTPS dostupných ve Firefoxu.
Po aktivaci DoH se v systému uživatele zobrazí varování, které v případě potřeby umožní odmítnout přechod na DoH a pokračovat v používání tradičního schématu odesílání nešifrovaných požadavků na DNS server poskytovatele. V nastavení síťového připojení můžete změnit poskytovatele nebo vypnout DoH. Kromě serverů CIRA DoH si můžete vybrat služby Cloudflare a NextDNS.
Poskytovatelé DoH nabízení ve Firefoxu jsou vybíráni v souladu s požadavky na důvěryhodné DNS resolvery, podle kterých může operátor DNS využívat přijatá data k rozlišení pouze k zajištění provozu služby, nesmí uchovávat protokoly déle než 24 hodin a nesmí předávat data třetím stranám a je povinen sdělit informace o způsobech zpracování dat. Služba musí také souhlasit s tím, že nebude cenzurovat, filtrovat, narušovat nebo blokovat provoz DNS, s výjimkou situací stanovených zákonem.
Připomeňme, že DoH může být užitečné pro zabránění úniku informací o požadovaných názvech hostitelů přes DNS servery poskytovatelů, v boji proti MITM útokům a DNS traffic spoofing (například při připojení k veřejné Wi-Fi), proti blokování na DNS úroveň (DoH nemůže nahradit VPN v oblasti obcházení blokování implementovaného na úrovni DPI) nebo pro organizaci práce, pokud není možný přímý přístup k serverům DNS (například při práci přes proxy). Pokud jsou za normální situace požadavky DNS odesílány přímo na servery DNS definované v konfiguraci systému, pak v případě DoH je požadavek na určení IP adresy hostitele zapouzdřen do provozu HTTPS a odeslán na server HTTP, kde překladač zpracovává požadavky prostřednictvím webového rozhraní API. Stávající standard DNSSEC používá šifrování pouze k ověření klienta a serveru, ale nechrání provoz před zachycením a nezaručuje důvěrnost požadavků.
Zdroj: opennet.ru