फ़ायरफ़ॉक्स डेवलपर्स ने HTTPS (DoH) मोड पर DNS के विस्तार की घोषणा की है, जो कनाडा में उपयोगकर्ताओं के लिए डिफ़ॉल्ट रूप से सक्षम होगा (पहले, DoH केवल यूएस के लिए डिफ़ॉल्ट था)। कनाडाई उपयोगकर्ताओं के लिए DoH को सक्षम करने को कई चरणों में विभाजित किया गया है: 20 जुलाई को, DoH को 1% कनाडाई उपयोगकर्ताओं के लिए सक्रिय किया जाएगा और, अप्रत्याशित समस्याओं को छोड़कर, सितंबर के अंत तक कवरेज को 100% तक बढ़ाया जाएगा।
कनाडाई फ़ायरफ़ॉक्स उपयोगकर्ताओं का DoH में संक्रमण CIRA (कैनेडियन इंटरनेट पंजीकरण प्राधिकरण) की भागीदारी से किया जाता है, जो कनाडा में इंटरनेट के विकास को नियंत्रित करता है और शीर्ष-स्तरीय डोमेन "ca" के लिए जिम्मेदार है। CIRA ने TRR (ट्रस्टेड रिकर्सिव रिज़ॉल्वर) के लिए भी साइन अप किया है और फ़ायरफ़ॉक्स में उपलब्ध DNS-ओवर-HTTPS प्रदाताओं में से एक है।
DoH को सक्रिय करने के बाद, उपयोगकर्ता के सिस्टम पर एक चेतावनी प्रदर्शित की जाएगी, जो यदि वांछित हो, तो DoH में संक्रमण को अस्वीकार करने और प्रदाता के DNS सर्वर पर अनएन्क्रिप्टेड अनुरोध भेजने की पारंपरिक योजना का उपयोग जारी रखने की अनुमति देगी। आप नेटवर्क कनेक्शन सेटिंग्स में प्रदाता को बदल सकते हैं या DoH को अक्षम कर सकते हैं। CIRA DoH सर्वर के अलावा, आप Cloudflare और NextDNS सेवाएँ चुन सकते हैं।
फ़ायरफ़ॉक्स में पेश किए गए DoH प्रदाताओं को भरोसेमंद DNS रिज़ॉल्वर की आवश्यकताओं के अनुसार चुना जाता है, जिसके अनुसार DNS ऑपरेटर केवल सेवा के संचालन को सुनिश्चित करने के लिए रिज़ॉल्यूशन के लिए प्राप्त डेटा का उपयोग कर सकता है, उसे 24 घंटे से अधिक समय तक लॉग संग्रहीत नहीं करना चाहिए, और नहीं डेटा को तीसरे पक्ष को स्थानांतरित करना और डेटा प्रोसेसिंग विधियों के बारे में जानकारी का खुलासा करना आवश्यक है। सेवा को कानून द्वारा प्रदान की गई स्थितियों को छोड़कर, DNS ट्रैफ़िक को सेंसर, फ़िल्टर, हस्तक्षेप या ब्लॉक नहीं करने के लिए भी सहमत होना चाहिए।
आइए याद रखें कि DoH प्रदाताओं के DNS सर्वरों के माध्यम से अनुरोधित होस्ट नामों के बारे में जानकारी के लीक को रोकने, MITM हमलों और DNS ट्रैफ़िक स्पूफिंग (उदाहरण के लिए, सार्वजनिक वाई-फाई से कनेक्ट होने पर), DNS पर अवरोध का मुकाबला करने के लिए उपयोगी हो सकता है। स्तर (डीओएच डीपीआई स्तर पर कार्यान्वित अवरोधन को दरकिनार करने के क्षेत्र में वीपीएन को प्रतिस्थापित नहीं कर सकता है) या काम को व्यवस्थित करने के लिए यदि डीएनएस सर्वर तक सीधे पहुंचना असंभव है (उदाहरण के लिए, प्रॉक्सी के माध्यम से काम करते समय)। यदि सामान्य स्थिति में DNS अनुरोध सीधे सिस्टम कॉन्फ़िगरेशन में परिभाषित DNS सर्वर पर भेजे जाते हैं, तो DoH के मामले में, होस्ट के आईपी पते को निर्धारित करने का अनुरोध HTTPS ट्रैफ़िक में समाहित किया जाता है और HTTP सर्वर पर भेजा जाता है, जहां रिज़ॉल्वर प्रक्रिया करता है वेब एपीआई के माध्यम से अनुरोध। मौजूदा DNSSEC मानक केवल क्लाइंट और सर्वर को प्रमाणित करने के लिए एन्क्रिप्शन का उपयोग करता है, लेकिन ट्रैफ़िक को अवरोध से नहीं बचाता है और अनुरोधों की गोपनीयता की गारंटी नहीं देता है।
स्रोत: opennet.ru