Les développeurs de Firefox ont annoncé l'expansion du mode DNS sur HTTPS (DoH), qui sera activé par défaut pour les utilisateurs au Canada (auparavant, DoH n'était le mode par défaut que pour les États-Unis). L'activation de DoH pour les utilisateurs canadiens est divisée en plusieurs étapes : le 20 juillet, DoH sera activé pour 1 % des utilisateurs canadiens et, sauf problème inattendu, la couverture sera augmentée à 100 % d'ici la fin septembre.
La transition des utilisateurs canadiens de Firefox vers le DoH s'effectue avec la participation de l'ACEI (Autorité canadienne pour les enregistrements Internet), qui réglemente le développement d'Internet au Canada et est responsable du domaine de premier niveau « ca ». CIRA s'est également inscrit au TRR (Trusted Recursive Resolver) et est l'un des fournisseurs DNS sur HTTPS disponibles dans Firefox.
Après avoir activé DoH, un avertissement s'affichera sur le système de l'utilisateur, permettant, s'il le souhaite, de refuser la transition vers DoH et de continuer à utiliser le schéma traditionnel d'envoi de requêtes non cryptées au serveur DNS du fournisseur. Vous pouvez changer de fournisseur ou désactiver DoH dans les paramètres de connexion réseau. En plus des serveurs CIRA DoH, vous pouvez choisir les services Cloudflare et NextDNS.
Les fournisseurs DoH proposés dans Firefox sont sélectionnés conformément aux exigences des résolveurs DNS fiables, selon lesquelles l'opérateur DNS peut utiliser les données reçues à des fins de résolution uniquement pour garantir le fonctionnement du service, ne doit pas stocker de journaux pendant plus de 24 heures et ne peut pas transférer de données à des tiers et est tenu de divulguer des informations sur les méthodes de traitement des données. Le service doit également s'engager à ne pas censurer, filtrer, interférer ou bloquer le trafic DNS, sauf dans les situations prévues par la loi.
Rappelons que DoH peut être utile pour empêcher les fuites d'informations sur les noms d'hôtes demandés via les serveurs DNS des fournisseurs, lutter contre les attaques MITM et l'usurpation du trafic DNS (par exemple, lors de la connexion au Wi-Fi public), contrer le blocage au niveau du DNS. (Le DoH ne peut pas remplacer un VPN dans le domaine du contournement des blocages mis en œuvre au niveau DPI) ou pour organiser le travail s'il est impossible d'accéder directement aux serveurs DNS (par exemple, lorsque l'on travaille via un proxy). Si dans une situation normale les requêtes DNS sont directement envoyées aux serveurs DNS définis dans la configuration du système, alors dans le cas de DoH, la requête pour déterminer l'adresse IP de l'hôte est encapsulée dans le trafic HTTPS et envoyée au serveur HTTP, où le résolveur traite requêtes via l’API Web. La norme DNSSEC existante utilise le cryptage uniquement pour authentifier le client et le serveur, mais ne protège pas le trafic contre l'interception et ne garantit pas la confidentialité des demandes.
Source: opennet.ru