Разработчики Firefox объявили о расширении применения режима DNS поверх HTTPS (DoH, DNS over HTTPS), который будет включён по умолчанию для пользователей из Канады (ранее DoH по умолчанию применялся только для США). Включение DoH для пользователей из Канады разделено на несколько этапов: 20 июля DoH будет активирован для 1% пользователей из Канады и если не возникнет непредвиденных проблем охват будет доведён до 100% к концу сентября.
Перевод канадских пользователей Firefox на DoH проводится при участии организации CIRA (Canadian Internet Registration Authority), регулирующей развитие интернета в Канаде и отвечающей за домен верхнего уровня «ca». Организация CIRA также подключилась к программе TRR (Trusted Recursive Resolver) и включена в число провайдеров DNS-over-HTTPS, доступных в Firefox.
После активации DoH на системе пользователя будет выведено предупреждение, позволяющее при желании отказаться от перехода на DoH и продолжить использование традиционной схемы отправки незашифрованных запросов к DNS-серверу провайдера. Изменить провайдера или отключить DoH можно в настройках сетевого соединения. Помимо DoH-серверов CIRA можно выбрать сервисы Cloudflare и NextDNS.
Предлагаемые в Firefox провайдеры DoH отбираются в соответствии с требованиями к заслуживающим доверие DNS-резолверам, в соответствии с которыми DNS-оператор может использовать получаемые для резолвинга данные только для обеспечения работы сервиса, не должен хранить логи дольше 24 часов, не может передавать данные третьим лицам и обязан раскрывать сведения о методах обработки данных. Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством.
Lit ús ûnthâlde dat DoH nuttich kin wêze foar it foarkommen fan lekken fan ynformaasje oer de oanfrege hostnammen fia de DNS-tsjinners fan providers, it bestriden fan MITM-oanfallen en DNS-ferkearspoofing (bygelyks by it ferbinen mei iepenbiere Wi-Fi), it tsjingean fan blokkearjen by de DNS nivo (DoH kin gjin VPN ferfange op it mêd fan blokkearjen ymplementearre op DPI-nivo) of foar it organisearjen fan wurk as it ûnmooglik is om direkt tagong te krijen ta DNS-tsjinners (bygelyks as jo wurkje fia in proxy). As yn in normale situaasje DNS-oanfragen direkt stjoerd wurde nei DNS-tsjinners definieare yn 'e systeemkonfiguraasje, dan wurdt yn it gefal fan DoH it fersyk om it IP-adres fan' e host te bepalen ynkapsele yn HTTPS-ferkear en stjoerd nei de HTTP-tsjinner, wêr't de resolver ferwurket oanfragen fia de Web API. De besteande DNSSEC-standert brûkt allinich fersifering om de kliïnt en tsjinner te autentisearjen, mar beskermet gjin ferkear tsjin ûnderskepping en garandearret de fertroulikens fan fersiken net.
Boarne: opennet.ru