Empresa Mozilla Acuerdo con terceros proveedores DNS sobre HTTPS (DoH, DNS sobre HTTPS) para Firefox. Además de los servidores DNS ofrecidos anteriormente, CloudFlare (“https://1.1.1.1/dns-query”) y (), el servicio Comcast también se incluirá en la configuración (https://doh.xfinity.com/dns-query). Active DoH y seleccione en la configuración de conexión de red.
Recordemos que Firefox 77 incluyó una prueba de DNS sobre HTTPS en la que cada cliente enviaba 10 solicitudes de prueba y seleccionaba automáticamente un proveedor de DoH. Esta verificación tuvo que estar deshabilitada en la versión. , ya que se convirtió en una especie de ataque DDoS al servicio NextDNS, que no pudo soportar la carga.
Los proveedores de DoH ofrecidos en Firefox se seleccionan según a solucionadores de DNS confiables, según los cuales el operador de DNS puede utilizar los datos recibidos para la resolución solo para garantizar el funcionamiento del servicio, no debe almacenar registros durante más de 24 horas, no puede transferir datos a terceros y está obligado a revelar información sobre métodos de procesamiento de datos. El servicio también debe comprometerse a no censurar, filtrar, interferir o bloquear el tráfico DNS, excepto en las situaciones previstas por la ley.
También se pueden observar eventos relacionados con DNS sobre HTTPS. Apple implementará soporte para DNS sobre HTTPS y DNS sobre TLS en futuras versiones de iOS 14 y macOS 11, así como soporte para extensiones WebExtension en Safari.
Recordemos que DoH puede resultar útil para prevenir la filtración de información sobre los nombres de host solicitados a través de los servidores DNS de los proveedores, combatir los ataques MITM y la suplantación de tráfico DNS (por ejemplo, al conectarse a una red Wi-Fi pública), contrarrestar el bloqueo en el DNS nivel (DoH no puede reemplazar una VPN en el área de eludir el bloqueo implementado en el nivel DPI) o para organizar el trabajo si es imposible acceder directamente a los servidores DNS (por ejemplo, cuando se trabaja a través de un proxy). Si en una situación normal las solicitudes DNS se envían directamente a los servidores DNS definidos en la configuración del sistema, entonces, en el caso de DoH, la solicitud para determinar la dirección IP del host se encapsula en el tráfico HTTPS y se envía al servidor HTTP, donde el solucionador procesa solicitudes a través de la API web. El estándar DNSSEC existente utiliza cifrado sólo para autenticar al cliente y al servidor, pero no protege el tráfico contra la interceptación y no garantiza la confidencialidad de las solicitudes.
Fuente: opennet.ru