Οι προγραμματιστές του Firefox ανακοίνωσαν την επέκταση της λειτουργίας DNS μέσω HTTPS (DoH), η οποία θα είναι ενεργοποιημένη από προεπιλογή για χρήστες στον Καναδά (προηγουμένως, το DoH ήταν η προεπιλογή μόνο για τις ΗΠΑ). Η ενεργοποίηση DoH για Καναδούς χρήστες χωρίζεται σε διάφορα στάδια: Στις 20 Ιουλίου, το DoH θα ενεργοποιηθεί για το 1% των καναδών χρηστών και, εκτός απρόβλεπτων προβλημάτων, η κάλυψη θα αυξηθεί στο 100% μέχρι το τέλος Σεπτεμβρίου.
Η μετάβαση των Καναδών χρηστών Firefox στο DoH πραγματοποιείται με τη συμμετοχή της CIRA (Canadian Internet Registration Authority), η οποία ρυθμίζει την ανάπτυξη του Διαδικτύου στον Καναδά και είναι υπεύθυνη για τον τομέα ανώτατου επιπέδου «ca». Η CIRA έχει επίσης εγγραφεί για το TRR (Trusted Recursive Resolver) και είναι ένας από τους παρόχους DNS-over-HTTPS που είναι διαθέσιμοι στον Firefox.
Μετά την ενεργοποίηση του DoH, θα εμφανιστεί μια προειδοποίηση στο σύστημα του χρήστη, επιτρέποντας, εάν είναι επιθυμητό, να αρνηθεί τη μετάβαση στο DoH και να συνεχίσει να χρησιμοποιεί το παραδοσιακό σχήμα αποστολής μη κρυπτογραφημένων ερωτημάτων στον διακομιστή DNS του παρόχου. Μπορείτε να αλλάξετε τον πάροχο ή να απενεργοποιήσετε το DoH στις ρυθμίσεις σύνδεσης δικτύου. Εκτός από τους διακομιστές CIRA DoH, μπορείτε να επιλέξετε υπηρεσίες Cloudflare και NextDNS.
Οι πάροχοι DoH που προσφέρονται στον Firefox επιλέγονται σύμφωνα με τις απαιτήσεις για αξιόπιστους αναλυτές DNS, σύμφωνα με τις οποίες ο χειριστής DNS μπορεί να χρησιμοποιήσει τα δεδομένα που λαμβάνει για επίλυση μόνο για να διασφαλίσει τη λειτουργία της υπηρεσίας, δεν πρέπει να αποθηκεύει αρχεία καταγραφής για περισσότερο από 24 ώρες και δεν μπορεί να μεταφέρει δεδομένα σε τρίτους και απαιτείται να αποκαλύψει πληροφορίες σχετικά με τις μεθόδους επεξεργασίας δεδομένων. Η υπηρεσία πρέπει επίσης να συμφωνήσει να μην λογοκρίνει, φιλτράρει, παρεμβαίνει ή αποκλείει την κυκλοφορία DNS, εκτός από περιπτώσεις που προβλέπονται από τη νομοθεσία.
Ας υπενθυμίσουμε ότι το DoH μπορεί να είναι χρήσιμο για την αποτροπή διαρροών πληροφοριών σχετικά με τα ζητούμενα ονόματα κεντρικών υπολογιστών μέσω των διακομιστών DNS των παρόχων, την καταπολέμηση των επιθέσεων MITM και της πλαστογράφησης της κυκλοφορίας DNS (για παράδειγμα, κατά τη σύνδεση σε δημόσιο Wi-Fi), την αντιμετώπιση του αποκλεισμού στο DNS επίπεδο (Το DoH δεν μπορεί να αντικαταστήσει ένα VPN στην περιοχή της παράκαμψης αποκλεισμού που εφαρμόζεται σε επίπεδο DPI) ή για την οργάνωση εργασίας εάν είναι αδύνατη η άμεση πρόσβαση σε διακομιστές DNS (για παράδειγμα, όταν εργάζεστε μέσω διακομιστή μεσολάβησης). Εάν σε μια κανονική κατάσταση τα αιτήματα DNS αποστέλλονται απευθείας σε διακομιστές DNS που ορίζονται στη διαμόρφωση του συστήματος, τότε στην περίπτωση του DoH, το αίτημα για τον προσδιορισμό της διεύθυνσης IP του κεντρικού υπολογιστή ενσωματώνεται στην κυκλοφορία HTTPS και αποστέλλεται στον διακομιστή HTTP, όπου επεξεργάζεται ο επιλύτης αιτήματα μέσω του Web API. Το υπάρχον πρότυπο DNSSEC χρησιμοποιεί κρυπτογράφηση μόνο για τον έλεγχο ταυτότητας του πελάτη και του διακομιστή, αλλά δεν προστατεύει την κυκλοφορία από την παρακολούθηση και δεν εγγυάται την εμπιστευτικότητα των αιτημάτων.
Πηγή: opennet.ru