Firefox-Entwickler haben die Erweiterung des DNS-über-HTTPS-Modus (DoH) angekündigt, der standardmäßig für Benutzer in Kanada aktiviert wird (zuvor war DoH nur die Standardeinstellung für die USA). Die Aktivierung von DoH für kanadische Benutzer ist in mehrere Phasen unterteilt: Am 20. Juli wird DoH für 1 % der kanadischen Benutzer aktiviert und, sofern keine unerwarteten Probleme auftreten, wird die Abdeckung bis Ende September auf 100 % erhöht.
Der Übergang kanadischer Firefox-Benutzer zu DoH erfolgt unter Beteiligung der CIRA (Canadian Internet Registration Authority), die die Entwicklung des Internets in Kanada reguliert und für die Top-Level-Domain „ca“ verantwortlich ist. CIRA hat sich außerdem für TRR (Trusted Recursive Resolver) angemeldet und ist einer der in Firefox verfügbaren DNS-over-HTTPS-Anbieter.
Nach der Aktivierung von DoH wird auf dem System des Benutzers eine Warnung angezeigt, die es auf Wunsch ermöglicht, den Übergang zu DoH abzulehnen und weiterhin das traditionelle Schema des Sendens unverschlüsselter Anfragen an den DNS-Server des Anbieters zu verwenden. Sie können den Anbieter wechseln oder DoH in den Netzwerkverbindungseinstellungen deaktivieren. Zusätzlich zu CIRA DoH-Servern können Sie Cloudflare- und NextDNS-Dienste wählen.
Die in Firefox angebotenen DoH-Anbieter werden nach den Anforderungen an vertrauenswürdige DNS-Resolver ausgewählt, wonach der DNS-Betreiber die zur Auflösung erhaltenen Daten nur zur Sicherstellung des Betriebs des Dienstes verwenden darf, Protokolle nicht länger als 24 Stunden speichern darf und Wir dürfen keine Daten an Dritte weitergeben und sind verpflichtet, Auskunft über die Art der Datenverarbeitung zu geben. Der Dienst muss außerdem zustimmen, den DNS-Verkehr nicht zu zensieren, zu filtern, zu stören oder zu blockieren, außer in den gesetzlich vorgesehenen Situationen.
Erinnern wir uns daran, dass DoH nützlich sein kann, um das Durchsickern von Informationen über die angeforderten Hostnamen über die DNS-Server von Anbietern zu verhindern, MITM-Angriffe und DNS-Traffic-Spoofing (z. B. beim Herstellen einer Verbindung zu öffentlichem WLAN) zu bekämpfen und Blockaden im DNS entgegenzuwirken Ebene (DoH kann ein VPN im Bereich der Umgehung der auf DPI-Ebene implementierten Blockierung nicht ersetzen) oder zur Arbeitsorganisation, wenn ein direkter Zugriff auf DNS-Server nicht möglich ist (z. B. bei der Arbeit über einen Proxy). Wenn in einer normalen Situation DNS-Anfragen direkt an in der Systemkonfiguration definierte DNS-Server gesendet werden, wird im Fall von DoH die Anfrage zur Ermittlung der IP-Adresse des Hosts im HTTPS-Verkehr gekapselt und an den HTTP-Server gesendet, wo der Resolver die Verarbeitung durchführt Anfragen über die Web-API. Der bestehende DNSSEC-Standard verwendet Verschlüsselung nur zur Authentifizierung von Client und Server, schützt den Datenverkehr jedoch nicht vor dem Abfangen und garantiert nicht die Vertraulichkeit von Anfragen.
Source: opennet.ru