Εταιρεία Mozilla συμφωνία με τρίτους παρόχους DNS μέσω HTTPS (DoH, DNS μέσω HTTPS) για τον Firefox. Εκτός από τους προηγουμένως προσφερόμενους διακομιστές DNS CloudFlare ("https://1.1.1.1/dns-query") και (), η υπηρεσία Comcast θα περιλαμβάνεται επίσης στις ρυθμίσεις (https://doh.xfinity.com/dns-query). Ενεργοποιήστε το DoH και επιλέξτε στις ρυθμίσεις σύνδεσης δικτύου.
Ας θυμηθούμε ότι ο Firefox 77 περιλάμβανε μια δοκιμή DNS μέσω HTTPS με κάθε πελάτη να στέλνει 10 αιτήματα δοκιμής και να επιλέγει αυτόματα έναν πάροχο DoH. Αυτός ο έλεγχος έπρεπε να απενεργοποιηθεί κατά την απελευθέρωση , αφού μετατράπηκε σε ένα είδος επίθεσης DDoS στην υπηρεσία NextDNS, η οποία δεν μπορούσε να αντιμετωπίσει το φορτίο.
Οι πάροχοι DoH που προσφέρονται στον Firefox επιλέγονται ανάλογα σε αξιόπιστους επιλύτες DNS, σύμφωνα με τους οποίους ο χειριστής DNS μπορεί να χρησιμοποιήσει τα δεδομένα που έλαβε για επίλυση μόνο για να διασφαλίσει τη λειτουργία της υπηρεσίας, δεν πρέπει να αποθηκεύει αρχεία καταγραφής για περισσότερες από 24 ώρες, δεν μπορεί να μεταφέρει δεδομένα σε τρίτους και είναι υποχρεωμένος να αποκαλύψει πληροφορίες σχετικά με μεθόδους επεξεργασίας δεδομένων. Η υπηρεσία πρέπει επίσης να συμφωνήσει να μην λογοκρίνει, φιλτράρει, παρεμβαίνει ή αποκλείει την κυκλοφορία DNS, εκτός από περιπτώσεις που προβλέπονται από τη νομοθεσία.
Μπορούν επίσης να σημειωθούν συμβάντα που σχετίζονται με DNS-over-HTTPS Η Apple θα εφαρμόσει υποστήριξη για DNS-over-HTTPS και DNS-over-TLS σε μελλοντικές εκδόσεις iOS 14 και macOS 11, καθώς και υποστήριξη για επεκτάσεις WebExtension στο Safari.
Ας υπενθυμίσουμε ότι το DoH μπορεί να είναι χρήσιμο για την αποτροπή διαρροών πληροφοριών σχετικά με τα ζητούμενα ονόματα κεντρικών υπολογιστών μέσω των διακομιστών DNS των παρόχων, την καταπολέμηση των επιθέσεων MITM και της πλαστογράφησης της κυκλοφορίας DNS (για παράδειγμα, κατά τη σύνδεση σε δημόσιο Wi-Fi), την αντιμετώπιση του αποκλεισμού στο DNS επίπεδο (Το DoH δεν μπορεί να αντικαταστήσει ένα VPN στην περιοχή της παράκαμψης αποκλεισμού που εφαρμόζεται σε επίπεδο DPI) ή για την οργάνωση εργασίας εάν είναι αδύνατη η άμεση πρόσβαση σε διακομιστές DNS (για παράδειγμα, όταν εργάζεστε μέσω διακομιστή μεσολάβησης). Εάν σε μια κανονική κατάσταση τα αιτήματα DNS αποστέλλονται απευθείας σε διακομιστές DNS που ορίζονται στη διαμόρφωση του συστήματος, τότε στην περίπτωση του DoH, το αίτημα για τον προσδιορισμό της διεύθυνσης IP του κεντρικού υπολογιστή ενσωματώνεται στην κυκλοφορία HTTPS και αποστέλλεται στον διακομιστή HTTP, όπου επεξεργάζεται ο επιλύτης αιτήματα μέσω του Web API. Το υπάρχον πρότυπο DNSSEC χρησιμοποιεί κρυπτογράφηση μόνο για τον έλεγχο ταυτότητας του πελάτη και του διακομιστή, αλλά δεν προστατεύει την κυκλοφορία από την παρακολούθηση και δεν εγγυάται την εμπιστευτικότητα των αιτημάτων.
Πηγή: opennet.ru