Cwmni Mozilla cytundeb gyda thrydydd darparwr DNS dros HTTPS (DoH, DNS dros HTTPS) ar gyfer Firefox. Yn ogystal â'r gweinyddwyr DNS a gynigiwyd yn flaenorol CloudFlare (“https://1.1.1.1/dns-query”) a (), bydd y gwasanaeth Comcast hefyd yn cael ei gynnwys yn y gosodiadau ( https://doh.xfinity.com/dns-query ). Ysgogi DoH a dewis yn y gosodiadau cysylltiad rhwydwaith.
Gadewch i ni gofio bod Firefox 77 yn cynnwys prawf DNS dros HTTPS gyda phob cleient yn anfon 10 cais prawf ac yn dewis darparwr Adran Iechyd yn awtomatig. Roedd yn rhaid analluogi'r gwiriad hwn wrth ryddhau , gan ei fod yn troi'n fath o ymosodiad DDoS ar wasanaeth NextDNS, na allai ymdopi â'r llwyth.
Mae'r darparwyr DoH a gynigir yn Firefox yn cael eu dewis yn ôl i ddatryswyr DNS dibynadwy, yn ôl y gall y gweithredwr DNS ddefnyddio'r data a dderbyniwyd i'w ddatrys yn unig i sicrhau gweithrediad y gwasanaeth, rhaid iddo beidio â storio logiau am fwy na 24 awr, ni all drosglwyddo data i drydydd partïon ac mae'n ofynnol iddo ddatgelu gwybodaeth am dulliau prosesu data. Rhaid i'r gwasanaeth hefyd gytuno i beidio â sensro, hidlo, ymyrryd â neu rwystro traffig DNS, ac eithrio mewn sefyllfaoedd a ddarperir gan y gyfraith.
Gellir nodi digwyddiadau sy'n ymwneud â DNS-over-HTTPS hefyd Bydd Apple yn gweithredu cefnogaeth ar gyfer DNS-over-HTTPS a DNS-over-TLS mewn datganiadau iOS 14 a macOS 11 yn y dyfodol, yn ogystal â cefnogaeth ar gyfer estyniadau WebExtension yn Safari.
Gadewch inni gofio y gall yr Adran Iechyd fod yn ddefnyddiol ar gyfer atal gollyngiadau gwybodaeth am yr enwau gwesteiwr y gofynnwyd amdanynt trwy weinyddion DNS darparwyr, brwydro yn erbyn ymosodiadau MITM a ffugio traffig DNS (er enghraifft, wrth gysylltu â Wi-Fi cyhoeddus), gan atal blocio yn y DNS lefel (ni all DoH ddisodli VPN ym maes blocio osgoi a weithredir ar lefel DPI) neu ar gyfer trefnu gwaith os yw'n amhosibl cael mynediad uniongyrchol i weinyddion DNS (er enghraifft, wrth weithio trwy ddirprwy). Os yw ceisiadau DNS mewn sefyllfa arferol yn cael eu hanfon yn uniongyrchol at weinyddion DNS a ddiffinnir yng nghyfluniad y system, yna yn achos DoH, mae'r cais i bennu cyfeiriad IP y gwesteiwr wedi'i grynhoi mewn traffig HTTPS a'i anfon at y gweinydd HTTP, lle mae'r datryswr yn prosesu ceisiadau trwy'r Web API. Mae'r safon DNSSEC bresennol yn defnyddio amgryptio i ddilysu'r cleient a'r gweinydd yn unig, ond nid yw'n amddiffyn traffig rhag rhyng-gipio ac nid yw'n gwarantu cyfrinachedd ceisiadau.
Ffynhonnell: opennet.ru