Mozilla-Unternehmen Vereinbarung mit Drittanbietern DNS über HTTPS (DoH, DNS über HTTPS) für Firefox. Zusätzlich zu den bisher angebotenen DNS-Servern CloudFlare („https://1.1.1.1/dns-query“) und () wird auch der Comcast-Dienst in die Einstellungen aufgenommen (https://doh.xfinity.com/dns-query). DoH aktivieren und auswählen in den Netzwerkverbindungseinstellungen.
Denken Sie daran, dass Firefox 77 einen DNS-über-HTTPS-Test enthielt, bei dem jeder Client 10 Testanfragen sendete und automatisch einen DoH-Anbieter auswählte. Diese Prüfung musste im Release deaktiviert werden , da es sich um eine Art DDoS-Angriff auf den NextDNS-Dienst handelte, der der Belastung nicht gewachsen war.
Die in Firefox angebotenen DoH-Anbieter werden nach ausgewählt an vertrauenswürdige DNS-Resolver, wonach der DNS-Betreiber die zur Auflösung erhaltenen Daten nur zur Gewährleistung des Betriebs des Dienstes verwenden darf, Protokolle nicht länger als 24 Stunden speichern darf, keine Daten an Dritte weitergeben darf und zur Offenlegung von Informationen verpflichtet ist Datenverarbeitungsmethoden. Der Dienst muss außerdem zustimmen, den DNS-Verkehr nicht zu zensieren, zu filtern, zu stören oder zu blockieren, außer in den gesetzlich vorgesehenen Situationen.
Es können auch Ereignisse im Zusammenhang mit DNS-over-HTTPS festgestellt werden Apple wird die Unterstützung für DNS-over-HTTPS und DNS-over-TLS in zukünftigen Versionen von iOS 14 und macOS 11 implementieren Unterstützung für WebExtension-Erweiterungen in Safari.
Erinnern wir uns daran, dass DoH nützlich sein kann, um das Durchsickern von Informationen über die angeforderten Hostnamen über die DNS-Server von Anbietern zu verhindern, MITM-Angriffe und DNS-Traffic-Spoofing (z. B. beim Herstellen einer Verbindung zu öffentlichem WLAN) zu bekämpfen und Blockaden im DNS entgegenzuwirken Ebene (DoH kann ein VPN im Bereich der Umgehung der auf DPI-Ebene implementierten Blockierung nicht ersetzen) oder zur Arbeitsorganisation, wenn ein direkter Zugriff auf DNS-Server nicht möglich ist (z. B. bei der Arbeit über einen Proxy). Wenn in einer normalen Situation DNS-Anfragen direkt an in der Systemkonfiguration definierte DNS-Server gesendet werden, wird im Fall von DoH die Anfrage zur Ermittlung der IP-Adresse des Hosts im HTTPS-Verkehr gekapselt und an den HTTP-Server gesendet, wo der Resolver die Verarbeitung durchführt Anfragen über die Web-API. Der bestehende DNSSEC-Standard verwendet Verschlüsselung nur zur Authentifizierung von Client und Server, schützt den Datenverkehr jedoch nicht vor dem Abfangen und garantiert nicht die Vertraulichkeit von Anfragen.
Source: opennet.ru