Společnost Mozilla dohoda s třetími poskytovateli DNS over HTTPS (DoH, DNS over HTTPS) pro Firefox. Kromě dříve nabízených DNS serverů CloudFlare („https://1.1.1.1/dns-query“) a (), bude do nastavení zahrnuta i služba Comcast (https://doh.xfinity.com/dns-query). Aktivujte DoH a vyberte v nastavení síťového připojení.
Připomeňme, že Firefox 77 zahrnoval test DNS přes HTTPS, přičemž každý klient odeslal 10 testovacích požadavků a automaticky vybral poskytovatele DoH. Tato kontrola musela být při vydání deaktivována , protože se to změnilo v jakýsi DDoS útok na službu NextDNS, která se nedokázala vyrovnat se zátěží.
Poskytovatelé DoH nabízení ve Firefoxu jsou vybíráni podle důvěryhodným DNS resolverům, podle kterých může operátor DNS získané údaje použít k rozlišení pouze k zajištění provozu služby, nesmí uchovávat protokoly déle než 24 hodin, nemůže předávat data třetím stranám a je povinen sdělovat informace o metody zpracování dat. Služba musí také souhlasit s tím, že nebude cenzurovat, filtrovat, narušovat nebo blokovat provoz DNS, s výjimkou situací stanovených zákonem.
Lze také zaznamenat události související s DNS-over-HTTPS Apple implementuje podporu pro DNS-over-HTTPS a DNS-over-TLS v budoucích verzích iOS 14 a macOS 11, stejně jako podpora rozšíření WebExtension v Safari.
Připomeňme, že DoH může být užitečné pro zabránění úniku informací o požadovaných názvech hostitelů přes DNS servery poskytovatelů, v boji proti MITM útokům a DNS traffic spoofing (například při připojení k veřejné Wi-Fi), proti blokování na DNS úroveň (DoH nemůže nahradit VPN v oblasti obcházení blokování implementovaného na úrovni DPI) nebo pro organizaci práce, pokud není možný přímý přístup k serverům DNS (například při práci přes proxy). Pokud jsou za normální situace požadavky DNS odesílány přímo na servery DNS definované v konfiguraci systému, pak v případě DoH je požadavek na určení IP adresy hostitele zapouzdřen do provozu HTTPS a odeslán na server HTTP, kde překladač zpracovává požadavky prostřednictvím webového rozhraní API. Stávající standard DNSSEC používá šifrování pouze k ověření klienta a serveru, ale nechrání provoz před zachycením a nezaručuje důvěrnost požadavků.
Zdroj: opennet.ru