Mozilla konpainia hitzarmena hirugarren hornitzaileekin DNS HTTPS bidez (DoH, DNS HTTPS bidez) Firefoxerako. Aurretik eskainitako DNS zerbitzariez gain, CloudFlare ("https://1.1.1.1/dns-query") eta (), Comcast zerbitzua ere ezarpenetan sartuko da (https://doh.xfinity.com/dns-query). Aktibatu DoH eta hautatu sareko konexioaren ezarpenetan.
Gogora dezagun Firefox 77-k HTTPS bidezko DNS proba bat sartu zuela bezero bakoitzak 10 proba eskaera bidaltzen zituela eta DoH hornitzaile bat automatikoki hautatzen zuela. Egiaztapen hau desgaitu egin behar izan zen bertsioan , NextDNS zerbitzuaren DDoS eraso moduko bat bihurtu zenetik, kargari aurre egin ezin zion.
Firefoxen eskaintzen diren DoH hornitzaileak horren arabera hautatzen dira DNS konpontzaile fidagarriei, hauen arabera, DNS operadoreak ebazpenerako jasotako datuak zerbitzuaren funtzionamendua bermatzeko soilik erabil ditzake, ez ditu erregistroak gorde behar 24 ordu baino gehiagotan, ezin ditu hirugarrenei datuak transferitu eta behartuta dago informazioa ezagutzera. datuak tratatzeko metodoak. Zerbitzuak ere onartu behar du DNS trafikoa ez zentsuratu, iragazi, oztopatu edo blokeatzea, legeak aurreikusitako egoeretan izan ezik.
DNS-over-HTTPS-ekin lotutako gertaerak ere ohar daitezke Apple-k DNS-over-HTTPS eta DNS-over-TLS-en laguntza ezarriko du iOS 14 eta macOS 11-en etorkizuneko bertsioetan, baita Safari-n WebExtension luzapenetarako laguntza.
Gogora dezagun DoH hornitzaileen DNS zerbitzarien bidez eskatutako ostalari-izenei buruzko informazio-ihesak saihesteko baliagarria izan daitekeela, MITM erasoei eta DNS trafikoaren faltsioari aurre egiteko (adibidez, Wi-Fi publikora konektatzean), DNSn blokeatzeari aurre egiteko. maila (DoH-k ezin du ordezkatu VPN bat DPI mailan inplementatutako blokeoa saihesteko eremuan) edo lana antolatzeko DNS zerbitzarietara zuzenean sartzea ezinezkoa bada (adibidez, proxy baten bidez lan egiten denean). Egoera normal batean DNS eskaerak sistemaren konfigurazioan definitutako DNS zerbitzarietara zuzenean bidaltzen badira, DoH-ren kasuan, ostalariaren IP helbidea zehazteko eskaera HTTPS trafikoan kapsulatzen da eta HTTP zerbitzarira bidaltzen da, non konpontzaileak prozesatzen duen. eskaerak Web APIaren bidez. Lehendik dagoen DNSSEC estandarrak enkriptatzea erabiltzen du bezeroa eta zerbitzaria autentifikatzeko soilik, baina ez du trafikoa atzematetik babesten eta ez du eskaeren konfidentzialtasuna bermatzen.
Iturria: opennet.ru