Mozilla Company sopimus kolmansien palveluntarjoajien kanssa DNS yli HTTPS (DoH, DNS over HTTPS) Firefoxille. Aiemmin tarjottujen DNS-palvelimien lisäksi CloudFlare ("https://1.1.1.1/dns-query") ja (), Comcast-palvelu sisällytetään myös asetuksiin (https://doh.xfinity.com/dns-query). Aktivoi DoH ja valitse verkkoyhteysasetuksissa.
Muista, että Firefox 77 sisälsi DNS yli HTTPS -testin, jossa jokainen asiakas lähetti 10 testipyyntöä ja valitsi automaattisesti DoH-palveluntarjoajan. Tämä tarkistus oli poistettava käytöstä julkaisussa , koska se muuttui eräänlaiseksi DDoS-hyökkäykseksi NextDNS-palvelua vastaan, joka ei kestänyt kuormaa.
Firefoxissa tarjottavat DoH-palveluntarjoajat valitaan sen mukaan luotettaville DNS-ratkaisijoille, joiden mukaan DNS-operaattori voi käyttää ratkaisuun saamiaan tietoja vain palvelun toiminnan varmistamiseksi, ei saa säilyttää lokeja yli 24 tuntia, ei saa siirtää tietoja kolmansille osapuolille ja on velvollinen luovuttamaan tietoja tietojenkäsittelymenetelmiä. Palvelun tulee myös sitoutua olemaan sensuroimatta, suodattamatta, häiritsemättä tai estämättä DNS-liikennettä, paitsi lain sallimissa tilanteissa.
DNS-over-HTTPS:ään liittyvät tapahtumat voidaan myös huomioida Apple ottaa käyttöön tuen DNS-over-HTTPS:lle ja DNS-over-TLS:lle tulevissa iOS 14:n ja macOS 11:n julkaisuissa sekä tuki WebExtension-laajennuksille Safarissa.
Muistetaan, että DoH voi olla hyödyllinen estämään pyydettyjä isäntänimiä koskevien tietojen vuotaminen palveluntarjoajien DNS-palvelimien kautta, torjumaan MITM-hyökkäyksiä ja DNS-liikenteen huijausta (esimerkiksi yhdistettäessä julkiseen Wi-Fi-verkkoon), estämään DNS-estoja. tasolla (DoH ei voi korvata VPN:ää DPI-tasolla toteutetun eston ohituksen alueella) tai työn järjestämiseen, jos DNS-palvelimiin ei pääse suoraan (esimerkiksi välityspalvelimen kautta). Jos normaalitilanteessa DNS-pyynnöt lähetetään suoraan järjestelmäkokoonpanossa määritellyille DNS-palvelimille, niin DoH:n tapauksessa isännän IP-osoitteen määrittäminen pyyntö kapseloidaan HTTPS-liikenteeseen ja lähetetään HTTP-palvelimelle, jossa ratkaisija käsittelee. pyyntöjä Web API:n kautta. Nykyinen DNSSEC-standardi käyttää salausta vain asiakkaan ja palvelimen todentamiseen, mutta ei suojaa liikennettä sieppaukselta eikä takaa pyyntöjen luottamuksellisuutta.
Lähde: opennet.ru