Mozilla Company oerienkomst mei tredde providers DNS oer HTTPS (DoH, DNS oer HTTPS) foar Firefox. Neist de earder oanbean DNS-tsjinners CloudFlare ("https://1.1.1.1/dns-query") en (), sil de Comcast-tsjinst ek opnommen wurde yn 'e ynstellings (https://doh.xfinity.com/dns-query). Aktivearje DoH en selektearje yn de netwurkferbining ynstellings.
Lit ús betinke dat Firefox 77 in DNS oer HTTPS-test omfette mei elke klant dy't 10 testfersiken ferstjoert en automatysk in DoH-provider selektearret. Dizze kontrôle moast yn frijlitting útskeakele wurde , om't it feroare yn in soarte fan DDoS-oanfal op 'e NextDNS-tsjinst, dy't de lading net koe omgean.
De DoH-oanbieders oanbean yn Firefox wurde selektearre neffens oan betroubere DNS-resolvers, neffens dêr't de DNS-operator de gegevens ûntfongen kin brûke foar resolúsje allinich om de wurking fan 'e tsjinst te garandearjen, logs net mear dan 24 oeren opslaan, gegevens net kinne oerdrage oan tredden en is ferplichte om ynformaasje te iepenbierjen oer gegevens ferwurkjen metoaden. De tsjinst moat ek ynstimme om DNS-ferkear net te sensurearjen, te filterjen, te bemuoien of te blokkearjen, útsein yn situaasjes foarsjoen troch de wet.
Eveneminten relatearre oan DNS-over-HTTPS kinne ek opmurken wurde Apple sil stipe ymplementearje foar DNS-over-HTTPS en DNS-over-TLS yn takomstige releases fan iOS 14 en macOS 11, lykas ek stipe foar WebExtension-útwreidingen yn Safari.
Lit ús ûnthâlde dat DoH nuttich kin wêze foar it foarkommen fan lekken fan ynformaasje oer de oanfrege hostnammen fia de DNS-tsjinners fan providers, it bestriden fan MITM-oanfallen en DNS-ferkearspoofing (bygelyks by it ferbinen mei iepenbiere Wi-Fi), it tsjingean fan blokkearjen by de DNS nivo (DoH kin gjin VPN ferfange op it mêd fan blokkearjen ymplementearre op DPI-nivo) of foar it organisearjen fan wurk as it ûnmooglik is om direkt tagong te krijen ta DNS-tsjinners (bygelyks as jo wurkje fia in proxy). As yn in normale situaasje DNS-oanfragen direkt stjoerd wurde nei DNS-tsjinners definieare yn 'e systeemkonfiguraasje, dan wurdt yn it gefal fan DoH it fersyk om it IP-adres fan' e host te bepalen ynkapsele yn HTTPS-ferkear en stjoerd nei de HTTP-tsjinner, wêr't de resolver ferwurket oanfragen fia de Web API. De besteande DNSSEC-standert brûkt allinich fersifering om de kliïnt en tsjinner te autentisearjen, mar beskermet gjin ferkear tsjin ûnderskepping en garandearret de fertroulikens fan fersiken net.
Boarne: opennet.ru