Mozilla Company aftale med tredjepartsudbydere DNS over HTTPS (DoH, DNS over HTTPS) til Firefox. Ud over de tidligere tilbudte DNS-servere CloudFlare ("https://1.1.1.1/dns-query") og (), vil Comcast-tjenesten også være inkluderet i indstillingerne (https://doh.xfinity.com/dns-query). Aktiver DoH og vælg i netværksforbindelsesindstillingerne.
Lad os huske, at Firefox 77 inkluderede en DNS over HTTPS-test, hvor hver klient sendte 10 testanmodninger og automatisk valgte en DoH-udbyder. Denne kontrol skulle deaktiveres i udgivelsen , da det blev til et slags DDoS-angreb på NextDNS-tjenesten, som ikke kunne klare belastningen.
DoH-udbyderne, der tilbydes i Firefox, vælges iht til troværdige DNS-resolvere, hvorefter DNS-operatøren kun kan bruge de modtagne data til opløsning til at sikre driften af tjenesten, ikke må gemme logs i mere end 24 timer, ikke kan overføre data til tredjemand og er forpligtet til at videregive oplysninger vedr. databehandlingsmetoder. Tjenesten skal også acceptere ikke at censurere, filtrere, forstyrre eller blokere DNS-trafik, undtagen i situationer, der er fastsat ved lov.
Hændelser relateret til DNS-over-HTTPS kan også noteres Apple vil implementere understøttelse af DNS-over-HTTPS og DNS-over-TLS i fremtidige udgivelser af iOS 14 og macOS 11, samt understøttelse af WebExtension-udvidelser i Safari.
Lad os huske på, at DoH kan være nyttigt til at forhindre læk af information om de anmodede værtsnavne gennem udbydernes DNS-servere, bekæmpe MITM-angreb og DNS-trafik-spoofing (for eksempel ved tilslutning til offentlig Wi-Fi), modvirke blokering på DNS. niveau (DoH kan ikke erstatte en VPN i området for omgåelse af blokering implementeret på DPI-niveau) eller til at organisere arbejde, hvis det er umuligt at få direkte adgang til DNS-servere (f.eks. når du arbejder gennem en proxy). Hvis DNS-anmodninger i en normal situation sendes direkte til DNS-servere defineret i systemkonfigurationen, så i tilfælde af DoH, indkapsles anmodningen om at bestemme værtens IP-adresse i HTTPS-trafik og sendes til HTTP-serveren, hvor resolveren behandler anmodninger via Web API. Den eksisterende DNSSEC-standard bruger kun kryptering til at autentificere klienten og serveren, men beskytter ikke trafik mod aflytning og garanterer ikke fortroligheden af anmodninger.
Kilde: opennet.ru