Los desarrolladores de Firefox han anunciado la expansión del modo DNS sobre HTTPS (DoH), que estará habilitado de forma predeterminada para los usuarios de Canadá (anteriormente, DoH solo era el predeterminado para los EE. UU.). La habilitación de DoH para los usuarios canadienses se divide en varias etapas: el 20 de julio, el DoH se activará para el 1 % de los usuarios canadienses y, salvo problemas inesperados, la cobertura se incrementará al 100 % para finales de septiembre.
La transición de los usuarios canadienses de Firefox al DoH se lleva a cabo con la participación de CIRA (Autoridad Canadiense de Registro de Internet), que regula el desarrollo de Internet en Canadá y es responsable del dominio de nivel superior “ca”. CIRA también se ha registrado en TRR (Trusted Recursive Resolver) y es uno de los proveedores de DNS sobre HTTPS disponibles en Firefox.
Después de activar DoH, se mostrará una advertencia en el sistema del usuario, permitiéndole, si lo desea, rechazar la transición a DoH y continuar usando el esquema tradicional de enviar solicitudes no cifradas al servidor DNS del proveedor. Puede cambiar el proveedor o desactivar DoH en la configuración de conexión de red. Además de los servidores CIRA DoH, puede elegir los servicios Cloudflare y NextDNS.
Los proveedores de DoH ofrecidos en Firefox se seleccionan de acuerdo con los requisitos para solucionadores de DNS confiables, según los cuales el operador de DNS puede usar los datos recibidos para la resolución solo para garantizar el funcionamiento del servicio, no debe almacenar registros por más de 24 horas y no puede transferir datos a terceros y está obligado a revelar información sobre los métodos de procesamiento de datos. El servicio también debe comprometerse a no censurar, filtrar, interferir o bloquear el tráfico DNS, excepto en las situaciones previstas por la ley.
Recordemos que DoH puede resultar útil para prevenir la filtración de información sobre los nombres de host solicitados a través de los servidores DNS de los proveedores, combatir los ataques MITM y la suplantación de tráfico DNS (por ejemplo, al conectarse a una red Wi-Fi pública), contrarrestar el bloqueo en el DNS nivel (DoH no puede reemplazar una VPN en el área de eludir el bloqueo implementado en el nivel DPI) o para organizar el trabajo si es imposible acceder directamente a los servidores DNS (por ejemplo, cuando se trabaja a través de un proxy). Si en una situación normal las solicitudes DNS se envían directamente a los servidores DNS definidos en la configuración del sistema, entonces, en el caso de DoH, la solicitud para determinar la dirección IP del host se encapsula en el tráfico HTTPS y se envía al servidor HTTP, donde el solucionador procesa solicitudes a través de la API web. El estándar DNSSEC existente utiliza cifrado sólo para autenticar al cliente y al servidor, pero no protege el tráfico contra la interceptación y no garantiza la confidencialidad de las solicitudes.
Fuente: opennet.ru