Firefox-udviklere har annonceret udvidelsen af DNS over HTTPS (DoH)-tilstand, som vil blive aktiveret som standard for brugere i Canada (tidligere var DoH kun standard for USA). Aktivering af DoH for canadiske brugere er opdelt i flere faser: Den 20. juli vil DoH blive aktiveret for 1 % af de canadiske brugere, og bortset fra uventede problemer vil dækningen blive øget til 100 % inden udgangen af september.
Overgangen af canadiske Firefox-brugere til DoH udføres med deltagelse af CIRA (Canadian Internet Registration Authority), som regulerer udviklingen af internettet i Canada og er ansvarlig for topdomænet "ca". CIRA har også tilmeldt sig TRR (Trusted Recursive Resolver) og er en af de DNS-over-HTTPS-udbydere, der er tilgængelige i Firefox.
Efter aktivering af DoH vil der blive vist en advarsel på brugerens system, der giver mulighed for, hvis det ønskes, at nægte overgangen til DoH og fortsætte med at bruge den traditionelle ordning med at sende ukrypterede anmodninger til udbyderens DNS-server. Du kan ændre udbyder eller deaktivere DoH i netværksforbindelsesindstillingerne. Ud over CIRA DoH-servere kan du vælge Cloudflare og NextDNS-tjenester.
DoH-udbydere, der tilbydes i Firefox, er udvalgt i overensstemmelse med kravene til troværdige DNS-resolvere, ifølge hvilke DNS-operatøren kan bruge de modtagne data til opløsning kun for at sikre driften af tjenesten, må ikke gemme logs længere end 24 timer og ikke kan overføre data til tredjeparter og er forpligtet til at videregive oplysninger om databehandlingsmetoder. Tjenesten skal også acceptere ikke at censurere, filtrere, forstyrre eller blokere DNS-trafik, undtagen i situationer, der er fastsat ved lov.
Lad os huske på, at DoH kan være nyttigt til at forhindre læk af information om de anmodede værtsnavne gennem udbydernes DNS-servere, bekæmpe MITM-angreb og DNS-trafik-spoofing (for eksempel ved tilslutning til offentlig Wi-Fi), modvirke blokering på DNS. niveau (DoH kan ikke erstatte en VPN i området for omgåelse af blokering implementeret på DPI-niveau) eller til at organisere arbejde, hvis det er umuligt at få direkte adgang til DNS-servere (f.eks. når du arbejder gennem en proxy). Hvis DNS-anmodninger i en normal situation sendes direkte til DNS-servere defineret i systemkonfigurationen, så i tilfælde af DoH, indkapsles anmodningen om at bestemme værtens IP-adresse i HTTPS-trafik og sendes til HTTP-serveren, hvor resolveren behandler anmodninger via Web API. Den eksisterende DNSSEC-standard bruger kun kryptering til at autentificere klienten og serveren, men beskytter ikke trafik mod aflytning og garanterer ikke fortroligheden af anmodninger.
Kilde: opennet.ru