Compañía Mozilla acordo con terceiros provedores DNS sobre HTTPS (DoH, DNS sobre HTTPS) para Firefox. Ademais dos servidores DNS ofrecidos anteriormente CloudFlare ("https://1.1.1.1/dns-query") e (), o servizo Comcast tamén se incluirá na configuración (https://doh.xfinity.com/dns-query). Activa DoH e selecciona na configuración de conexión de rede.
Lembremos que Firefox 77 incluíu unha proba de DNS sobre HTTPS con cada cliente enviando 10 solicitudes de proba e seleccionando automaticamente un provedor DoH. Esta comprobación tivo que estar desactivada na versión , xa que se converteu nunha especie de ataque DDoS ao servizo NextDNS, que non puido facer fronte á carga.
Os provedores de DoH ofrecidos en Firefox son seleccionados segundo a resolutores DNS fiables, segundo os cales o operador DNS pode usar os datos recibidos para a resolución só para garantir o funcionamento do servizo, non debe almacenar rexistros durante máis de 24 horas, non pode transferir datos a terceiros e está obrigado a revelar información sobre métodos de tratamento de datos. O servizo tamén debe aceptar non censurar, filtrar, interferir ou bloquear o tráfico DNS, salvo nas situacións previstas pola lei.
Tamén se poden observar eventos relacionados con DNS sobre HTTPS Apple implementará compatibilidade con DNS-over-HTTPS e DNS-over-TLS en futuras versións de iOS 14 e macOS 11, así como soporte para extensións WebExtension en Safari.
Lembremos que DoH pode ser útil para evitar filtracións de información sobre os nomes de host solicitados a través dos servidores DNS dos provedores, combater ataques MITM e suplantación de tráfico DNS (por exemplo, cando se conecta a wifi pública), contrarrestar o bloqueo no DNS. nivel (DoH non pode substituír unha VPN na área de evitar o bloqueo implementado a nivel de DPI) ou para organizar o traballo se é imposible acceder directamente aos servidores DNS (por exemplo, cando se traballa a través dun proxy). Se nunha situación normal, as solicitudes DNS envíanse directamente aos servidores DNS definidos na configuración do sistema, entón no caso de DoH, a solicitude para determinar o enderezo IP do host encápsulase no tráfico HTTPS e envíase ao servidor HTTP, onde o resolutor procesa. solicitudes a través da API web. O estándar DNSSEC existente usa o cifrado só para autenticar o cliente e o servidor, pero non protexe o tráfico da intercepción e non garante a confidencialidade das solicitudes.
Fonte: opennet.ru