Разработчики Firefox объявили о расширении применения режима DNS поверх HTTPS (DoH, DNS over HTTPS), который будет включён по умолчанию для пользователей из Канады (ранее DoH по умолчанию применялся только для США). Включение DoH для пользователей из Канады разделено на несколько этапов: 20 июля DoH будет активирован для 1% пользователей из Канады и если не возникнет непредвиденных проблем охват будет доведён до 100% к концу сентября.
Перевод канадских пользователей Firefox на DoH проводится при участии организации CIRA (Canadian Internet Registration Authority), регулирующей развитие интернета в Канаде и отвечающей за домен верхнего уровня «ca». Организация CIRA также подключилась к программе TRR (Trusted Recursive Resolver) и включена в число провайдеров DNS-over-HTTPS, доступных в Firefox.
После активации DoH на системе пользователя будет выведено предупреждение, позволяющее при желании отказаться от перехода на DoH и продолжить использование традиционной схемы отправки незашифрованных запросов к DNS-серверу провайдера. Изменить провайдера или отключить DoH можно в настройках сетевого соединения. Помимо DoH-серверов CIRA можно выбрать сервисы Cloudflare и NextDNS.
Предлагаемые в Firefox провайдеры DoH отбираются в соответствии с требованиями к заслуживающим доверие DNS-резолверам, в соответствии с которыми DNS-оператор может использовать получаемые для резолвинга данные только для обеспечения работы сервиса, не должен хранить логи дольше 24 часов, не может передавать данные третьим лицам и обязан раскрывать сведения о методах обработки данных. Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством.
Lig dúinn a thabhairt chun cuimhne gur féidir le DoH a bheith úsáideach chun sceitheadh faisnéise faoi na hainmneacha óstacha a iarrtar a chosc trí fhreastalaithe DNS soláthraithe, chun ionsaithe MITM agus spoofing tráchta DNS a chomhrac (mar shampla, nuair a bhíonn tú ag nascadh le Wi-Fi poiblí), ag cur in aghaidh blocála ag an DNS. leibhéal (ní féidir leis an DoH VPN a athsholáthar sa réimse seachbhóthar blocála curtha i bhfeidhm ag an leibhéal DPI) nó chun obair a eagrú mura bhfuil sé dodhéanta rochtain dhíreach a fháil ar fhreastalaithe DNS (mar shampla, agus tú ag obair trí sheachvótálaí). Más rud é i ngnáth-staid seoltar iarratais DNS go díreach chuig freastalaithe DNS atá sainmhínithe i gcumraíocht an chórais, ansin i gcás DoH, tá an t-iarratas chun seoladh IP an óstaigh a chinneadh cuimsithe i dtrácht HTTPS agus seolta chuig an bhfreastalaí HTTP, áit a bpróiseálann an réititheoir. iarratais tríd an Web API. Ní úsáideann an caighdeán DNSSEC reatha criptiú ach amháin chun an cliant agus an freastalaí a fhíordheimhniú, ach ní chosnaíonn sé trácht ó thascradh agus ní ráthaíonn sé rúndacht na n-iarratas.
Foinse: oscailtenet.ru