Société Mozilla accord avec des fournisseurs tiers DNS sur HTTPS (DoH, DNS sur HTTPS) pour Firefox. En plus des serveurs DNS précédemment proposés CloudFlare (« https://1.1.1.1/dns-query ») et (), le service Comcast sera également inclus dans les paramètres (https://doh.xfinity.com/dns-query). Activez DoH et sélectionnez dans les paramètres de connexion réseau.
Rappelons que Firefox 77 incluait un test DNS sur HTTPS, chaque client envoyant 10 requêtes de test et sélectionnant automatiquement un fournisseur DoH. Cette vérification a dû être désactivée dans la version , car cela s'est transformé en une sorte d'attaque DDoS sur le service NextDNS, qui n'a pas pu faire face à la charge.
Les fournisseurs DoH proposés dans Firefox sont sélectionnés en fonction à des résolveurs DNS fiables, selon lesquels l'opérateur DNS peut utiliser les données reçues à des fins de résolution uniquement pour assurer le fonctionnement du service, ne doit pas stocker de journaux pendant plus de 24 heures, ne peut pas transférer de données à des tiers et est obligé de divulguer des informations sur méthodes de traitement des données. Le service doit également s'engager à ne pas censurer, filtrer, interférer ou bloquer le trafic DNS, sauf dans les situations prévues par la loi.
Les événements liés au DNS sur HTTPS peuvent également être notés Apple mettra en œuvre la prise en charge de DNS-over-HTTPS et DNS-over-TLS dans les futures versions d'iOS 14 et macOS 11, ainsi que prise en charge des extensions WebExtension dans Safari.
Rappelons que DoH peut être utile pour empêcher les fuites d'informations sur les noms d'hôtes demandés via les serveurs DNS des fournisseurs, lutter contre les attaques MITM et l'usurpation du trafic DNS (par exemple, lors de la connexion au Wi-Fi public), contrer le blocage au niveau du DNS. (Le DoH ne peut pas remplacer un VPN dans le domaine du contournement des blocages mis en œuvre au niveau DPI) ou pour organiser le travail s'il est impossible d'accéder directement aux serveurs DNS (par exemple, lorsque l'on travaille via un proxy). Si dans une situation normale les requêtes DNS sont directement envoyées aux serveurs DNS définis dans la configuration du système, alors dans le cas de DoH, la requête pour déterminer l'adresse IP de l'hôte est encapsulée dans le trafic HTTPS et envoyée au serveur HTTP, où le résolveur traite requêtes via l’API Web. La norme DNSSEC existante utilise le cryptage uniquement pour authentifier le client et le serveur, mais ne protège pas le trafic contre l'interception et ne garantit pas la confidentialité des demandes.
Source: opennet.ru