Firefox-kehittäjät ovat ilmoittaneet DNS over HTTPS (DoH) -tilan laajentamisesta, joka on oletuksena käytössä Kanadan käyttäjille (aiemmin DoH oli oletusarvo vain Yhdysvalloissa). DoH:n käyttöönotto kanadalaisille käyttäjille on jaettu useisiin vaiheisiin: DoH aktivoidaan 20. heinäkuuta 1 %:lle kanadalaisista käyttäjistä, ja odottamattomia ongelmia lukuun ottamatta kattavuus nostetaan 100 %:iin syyskuun loppuun mennessä.
Kanadalaisten Firefox-käyttäjien siirtyminen DoH:hon toteutetaan CIRA:n (Canadian Internet Registration Authority), joka säätelee Internetin kehitystä Kanadassa ja vastaa huipputason verkkotunnuksesta "ca", osallistuessa. CIRA on myös rekisteröitynyt TRR:ään (Trusted Recursive Resolver) ja on yksi DNS-over-HTTPS-palveluntarjoajista, jotka ovat saatavilla Firefoxissa.
Kun DoH on aktivoitu, käyttäjän järjestelmään tulee varoitus, joka sallii haluttaessa kieltäytyä siirtymisestä DoH:hen ja jatkaa perinteisen salaamattomien pyyntöjen lähettämistä palveluntarjoajan DNS-palvelimelle. Voit vaihtaa palveluntarjoajaa tai poistaa DoH:n käytöstä verkkoyhteysasetuksista. CIRA DoH -palvelimien lisäksi voit valita Cloudflare- ja NextDNS-palvelut.
Firefoxissa tarjottavat DoH-palveluntarjoajat valitaan luotettavien DNS-selvittäjien vaatimusten mukaisesti, joiden mukaan DNS-operaattori saa käyttää ratkaisuun saamiaan tietoja vain palvelun toiminnan varmistamiseksi, ei saa säilyttää lokeja yli 24 tuntia eikä se saa siirtää tietoja kolmansille osapuolille ja on velvollinen luovuttamaan tietoja tietojenkäsittelymenetelmistä. Palvelun tulee myös sitoutua olemaan sensuroimatta, suodattamatta, häiritsemättä tai estämättä DNS-liikennettä, paitsi lain sallimissa tilanteissa.
Muistetaan, että DoH voi olla hyödyllinen estämään pyydettyjä isäntänimiä koskevien tietojen vuotaminen palveluntarjoajien DNS-palvelimien kautta, torjumaan MITM-hyökkäyksiä ja DNS-liikenteen huijausta (esimerkiksi yhdistettäessä julkiseen Wi-Fi-verkkoon), estämään DNS-estoja. tasolla (DoH ei voi korvata VPN:ää DPI-tasolla toteutetun eston ohituksen alueella) tai työn järjestämiseen, jos DNS-palvelimiin ei pääse suoraan (esimerkiksi välityspalvelimen kautta). Jos normaalitilanteessa DNS-pyynnöt lähetetään suoraan järjestelmäkokoonpanossa määritellyille DNS-palvelimille, niin DoH:n tapauksessa isännän IP-osoitteen määrittäminen pyyntö kapseloidaan HTTPS-liikenteeseen ja lähetetään HTTP-palvelimelle, jossa ratkaisija käsittelee. pyyntöjä Web API:n kautta. Nykyinen DNSSEC-standardi käyttää salausta vain asiakkaan ja palvelimen todentamiseen, mutta ei suojaa liikennettä sieppaukselta eikä takaa pyyntöjen luottamuksellisuutta.
Lähde: opennet.ru