Firefoxeko garatzaileek DNS HTTPS (DoH) moduaren hedapena iragarri dute, lehenespenez gaituta egongo dena Kanadako erabiltzaileentzat (lehen, DoH lehenetsia zen AEBetarako soilik). Kanadako erabiltzaileentzako DoH gaitzea hainbat fasetan banatzen da: Uztailaren 20an, DoH aktibatuko da Kanadako erabiltzaileen %1entzat eta, ustekabeko arazoak izan ezik, estaldura %100era igoko da irailaren amaierarako.
Kanadako Firefox erabiltzaileen DoHra igarotzea CIRAren (Canadian Internet Registration Authority) parte-hartzearekin egiten da, Kanadan Interneten garapena arautzen duena eta goi-mailako βcaβ domeinuaren arduraduna dena. CIRAk TRR-n ere izena eman du (Trusted Recursive Resolver) eta Firefox-en eskuragarri dauden DNS-over-HTTPS hornitzaileetako bat da.
DoH aktibatu ondoren, abisu bat bistaratuko da erabiltzailearen sisteman, nahi izanez gero, DoHrako trantsizioari uko egin eta hornitzailearen DNS zerbitzariari zifratu gabeko eskaerak bidaltzeko eskema tradizionala erabiltzen jarraitzeko. Hornitzailea alda dezakezu edo DoH desgai dezakezu sareko konexioaren ezarpenetan. CIRA DoH zerbitzariez gain, Cloudflare eta NextDNS zerbitzuak aukera ditzakezu.
Firefox-en eskaintzen diren DoH hornitzaileak DNS konpontzaile fidagarrien eskakizunen arabera hautatzen dira, hauen arabera, DNS operadoreak ebazpenerako jasotako datuak zerbitzuaren funtzionamendua bermatzeko soilik erabil ditzake, ez ditu erregistroak 24 ordu baino gehiago gorde behar eta ezin ditu. hirugarrenei datuak transferitzea eta datuak tratatzeko metodoei buruzko informazioa ezagutzera ematea eskatzen du. Zerbitzuak ere onartu behar du DNS trafikoa ez zentsuratu, iragazi, oztopatu edo blokeatzea, legeak aurreikusitako egoeretan izan ezik.
Gogora dezagun DoH hornitzaileen DNS zerbitzarien bidez eskatutako ostalari-izenei buruzko informazio-ihesak saihesteko baliagarria izan daitekeela, MITM erasoei eta DNS trafikoaren faltsioari aurre egiteko (adibidez, Wi-Fi publikora konektatzean), DNSn blokeatzeari aurre egiteko. maila (DoH-k ezin du ordezkatu VPN bat DPI mailan inplementatutako blokeoa saihesteko eremuan) edo lana antolatzeko DNS zerbitzarietara zuzenean sartzea ezinezkoa bada (adibidez, proxy baten bidez lan egiten denean). Egoera normal batean DNS eskaerak sistemaren konfigurazioan definitutako DNS zerbitzarietara zuzenean bidaltzen badira, DoH-ren kasuan, ostalariaren IP helbidea zehazteko eskaera HTTPS trafikoan kapsulatzen da eta HTTP zerbitzarira bidaltzen da, non konpontzaileak prozesatzen duen. eskaerak Web APIaren bidez. Lehendik dagoen DNSSEC estandarrak enkriptatzea erabiltzen du bezeroa eta zerbitzaria autentifikatzeko soilik, baina ez du trafikoa atzematetik babesten eta ez du eskaeren konfidentzialtasuna bermatzen.
Iturria: opennet.ru