La programistoj de Firefox anoncis la vastiĝon de la reĝimo DNS super HTTPS (DoH), kiu estos ebligita defaŭlte por uzantoj en Kanado (antaŭe, DoH estis nur la defaŭlta por Usono). Ebligi DoH por kanadaj uzantoj estas dividita en plurajn stadiojn: La 20-an de julio, DoH estos aktivigita por 1% de kanadaj uzantoj kaj, krom neatenditaj problemoj, kovrado estos pliigita al 100% antaŭ la fino de septembro.
La transiro de kanadaj Firefox-uzantoj al DoH estas farita kun la partopreno de CIRA (Kanada Interreta Registrado-Aŭtoritato), kiu reguligas la evoluon de la Interreto en Kanado kaj respondecas pri la altnivela domajno "ca". CIRA ankaŭ aliĝis al TRR (Trusted Recursive Resolver) kaj estas unu el la DNS-super-HTTPS-provizantoj haveblaj en Firefox.
Post aktivigo de DoH, averto estos montrata sur la sistemo de la uzanto, permesante, se dezirite, rifuzi la transiron al DoH kaj daŭrigi uzi la tradician skemon sendi neĉifritajn petojn al la DNS-servilo de la provizanto. Vi povas ŝanĝi la provizanton aŭ malŝalti DoH en la agordoj de retkonekto. Krom CIRA DoH-serviloj, vi povas elekti Cloudflare kaj NextDNS-servojn.
DoH-provizantoj ofertitaj en Fajrovulpo estas elektitaj laŭ la postuloj por fidindaj DNS-solviloj, laŭ kiuj la DNS-funkciigisto povas uzi la datumojn ricevitajn por rezolucio nur por certigi la funkciadon de la servo, ne devas konservi ŝtipojn pli ol 24 horojn kaj ne povas. transdoni datumojn al triaj kaj estas postulata por malkaŝi informojn pri datumtraktaj metodoj. La servo ankaŭ devas konsenti ne cenzuri, filtri, malhelpi aŭ bloki DNS-trafikon, krom en situacioj disponigitaj per leĝo.
Ni rememoru, ke DoH povas esti utila por malhelpi likojn de informoj pri la petitaj gastigantnomoj tra la DNS-serviloj de provizantoj, kontraŭbatali MITM-atakojn kaj DNS-trafikan falsigon (ekzemple, kiam li konektas al publika Wi-Fi), kontraŭbatali blokadon ĉe la DNS. nivelo (DoH ne povas anstataŭigi VPN en la areo de preterpasi blokadon efektivigita ĉe la DPI-nivelo) aŭ por organizado de laboro se estas neeble rekte aliri DNS-servilojn (ekzemple, kiam vi laboras per prokurilo). Se en normala situacio DNS-petoj estas rekte senditaj al DNS-serviloj difinitaj en la sistema agordo, tiam en la kazo de DoH, la peto por determini la IP-adreson de la gastiganto estas enkapsuligita en HTTPS-trafiko kaj sendita al la HTTP-servilo, kie la solvilo procesas. petoj per la Reta API. La ekzistanta DNSSEC-normo uzas ĉifradon nur por aŭtentikigi la klienton kaj servilon, sed ne protektas trafikon kontraŭ interkapto kaj ne garantias la konfidencon de petoj.
fonto: opennet.ru