Kompanio Mozilla interkonsento kun triaj provizantoj DNS super HTTPS (DoH, DNS super HTTPS) por Firefox. Krom la antaŭe ofertitaj DNS-serviloj CloudFlare ("https://1.1.1.1/dns-query") kaj (), la Comcast-servo ankaŭ estos inkluzivita en la agordojn (https://doh.xfinity.com/dns-query). Aktivigu DoH kaj elektu en la agordoj de retkonekto.
Ni memoru, ke Firefox 77 inkludis DNS super HTTPS-teston kun ĉiu kliento sendante 10 testpetojn kaj aŭtomate elektante DoH-provizanton. Ĉi tiu kontrolo devis esti malŝaltita en eldono , ĉar ĝi fariĝis speco de DDoS-atako sur la servo NextDNS, kiu ne povis elteni la ŝarĝon.
La DoH-provizantoj ofertitaj en Fajrovulpo estas elektitaj laŭ al fidindaj DNS-solvintoj, laŭ kiuj la DNS-funkciigisto povas uzi la datumojn ricevitajn por rezolucio nur por certigi la funkciadon de la servo, ne devas konservi ŝtipojn dum pli ol 24 horoj, ne povas transdoni datumojn al triaj kaj devas malkaŝi informojn pri metodoj de prilaborado de datumoj. La servo ankaŭ devas konsenti ne cenzuri, filtri, malhelpi aŭ bloki DNS-trafikon, krom en situacioj antaŭviditaj de leĝo.
Okazaĵoj rilataj al DNS-super-HTTPS ankaŭ povas esti notitaj Apple efektivigos subtenon por DNS-over-HTTPS kaj DNS-over-TLS en estontaj eldonoj de iOS 14 kaj macOS 11, same kiel subteno por WebExtension-etendaĵoj en Safaro.
Ni rememoru, ke DoH povas esti utila por malhelpi likojn de informoj pri la petitaj gastigantnomoj tra la DNS-serviloj de provizantoj, kontraŭbatali MITM-atakojn kaj DNS-trafikan falsigon (ekzemple, kiam li konektas al publika Wi-Fi), kontraŭbatali blokadon ĉe la DNS. nivelo (DoH ne povas anstataŭigi VPN en la areo de preterpasi blokadon efektivigita ĉe la DPI-nivelo) aŭ por organizado de laboro se estas neeble rekte aliri DNS-servilojn (ekzemple, kiam vi laboras per prokurilo). Se en normala situacio DNS-petoj estas rekte senditaj al DNS-serviloj difinitaj en la sistema agordo, tiam en la kazo de DoH, la peto por determini la IP-adreson de la gastiganto estas enkapsuligita en HTTPS-trafiko kaj sendita al la HTTP-servilo, kie la solvilo procesas. petoj per la Reta API. La ekzistanta DNSSEC-normo uzas ĉifradon nur por aŭtentikigi la klienton kaj servilon, sed ne protektas trafikon kontraŭ interkapto kaj ne garantias la konfidencon de petoj.
fonto: opennet.ru