Mozilla ettevõte leping kolmandate pakkujatega DNS üle HTTPS (DoH, DNS üle HTTPS) Firefoxi jaoks. Lisaks varem pakutud DNS-serveritele CloudFlare (“https://1.1.1.1/dns-query”) ja (), lisatakse seadetesse ka Comcasti teenus (https://doh.xfinity.com/dns-query). Aktiveerige DoH ja valige võrguühenduse seadetes.
Pidagem meeles, et Firefox 77 sisaldas DNS-i üle HTTPS-i testi, kus iga klient saadab 10 testipäringut ja valis automaatselt DoH-teenuse pakkuja. See kontroll tuli vabastamisel keelata , kuna see muutus omamoodi DDoS-i rünnakuks NextDNS-teenuse vastu, mis ei saanud koormusega toime.
Firefoxis pakutavad DoH pakkujad valitakse selle järgi usaldusväärsetele DNS-i lahendajatele, mille kohaselt saab DNS-i operaator kasutada lahendamiseks saadud andmeid ainult teenuse toimimise tagamiseks, ei tohi salvestada logisid kauem kui 24 tundi, ei tohi edastada andmeid kolmandatele isikutele ning on kohustatud avalikustama teavet andmetöötlusmeetodid. Samuti peab teenus nõustuma mitte tsenseerima, filtreerima, segama ega blokeerima DNS-liiklust, välja arvatud seaduses sätestatud juhtudel.
Märkida saab ka DNS-üle-HTTPS-iga seotud sündmusi Apple rakendab tulevastes iOS 14 ja macOS 11 väljalasetes DNS-üle HTTPS-i ja DNS-üle-TLS-i tuge, samuti WebExtensioni laienduste tugi Safaris.
Tuletagem meelde, et DoH võib olla kasulik taotletud hostinimede teabelekke ärahoidmiseks pakkujate DNS-serverite kaudu, MITM-i rünnakute ja DNS-i liikluse võltsimise vastu võitlemiseks (näiteks avaliku Wi-Fi-ga ühenduse loomisel), DNS-i blokeerimise vastu võitlemiseks. tasemel (DoH ei saa asendada VPN-i DPI tasemel rakendatud blokeerimisest möödahiilimise valdkonnas) või töö korraldamiseks, kui DNS-serveritele pole otsene juurdepääs (näiteks puhverserveri kaudu töötades). Kui tavaolukorras saadetakse DNS-päringud otse süsteemi konfiguratsioonis määratletud DNS-serveritele, siis DoH-i puhul kapseldatakse hosti IP-aadressi määramise päring HTTPS-liiklusse ja saadetakse HTTP-serverisse, kus lahendaja töötleb. päringuid veebi API kaudu. Olemasolev DNSSEC-standard kasutab krüptimist ainult kliendi ja serveri autentimiseks, kuid ei kaitse liiklust pealtkuulamise eest ega garanteeri päringute konfidentsiaalsust.
Allikas: opennet.ru