Programeri Firefoxa najavili su proširenje načina DNS-a preko HTTPS-a (DoH), koji će biti omogućen prema zadanim postavkama za korisnike u Kanadi (ranije je DoH bio zadani samo za SAD). Omogućavanje DoH-a za kanadske korisnike podijeljeno je u nekoliko faza: 20. srpnja DoH će se aktivirati za 1% kanadskih korisnika i, osim neočekivanih problema, pokrivenost će se povećati na 100% do kraja rujna.
Prijelaz kanadskih korisnika Firefoxa na DoH provodi se uz sudjelovanje CIRA-e (Canadian Internet Registration Authority), koja regulira razvoj interneta u Kanadi i odgovorna je za domenu najviše razine "ca". CIRA se također prijavila za TRR (Trusted Recursive Resolver) i jedan je od pružatelja DNS-over-HTTPS dostupnih u Firefoxu.
Nakon aktiviranja DoH-a, upozorenje će se prikazati na korisničkom sustavu, dopuštajući, ako želite, odbijanje prijelaza na DoH i nastavak korištenja tradicionalne sheme slanja nešifriranih upita DNS poslužitelju davatelja usluga. Možete promijeniti davatelja usluga ili onemogućiti DoH u postavkama mrežne veze. Osim CIRA DoH poslužitelja, možete odabrati usluge Cloudflare i NextDNS.
DoH pružatelji usluga koji se nude u Firefoxu odabrani su u skladu sa zahtjevima za pouzdane DNS razrješivače, prema kojima DNS operater može koristiti primljene podatke za razrješenje samo kako bi osigurao rad usluge, ne smije pohranjivati zapise dulje od 24 sata i ne može prenositi podatke trećim stranama i dužan je otkriti informacije o načinima obrade podataka. Usluga se također mora složiti da neće cenzurirati, filtrirati, ometati ili blokirati DNS promet, osim u situacijama predviđenim zakonom.
Podsjetimo se da DoH može biti koristan za sprječavanje curenja informacija o traženim imenima hostova kroz DNS poslužitelje pružatelja usluga, borbu protiv MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), suzbijanje blokiranja na razini DNS-a (DoH ne može zamijeniti VPN u području zaobilaženja blokiranja implementiranog na razini DPI) ili za organizaciju rada u slučaju da je nemoguće izravno pristupiti DNS poslužiteljima (na primjer, kada radite putem proxyja). Dok se u normalnoj situaciji DNS zahtjevi šalju izravno na DNS poslužitelje definirane u konfiguraciji sustava, u slučaju DoH-a, zahtjev za određivanjem IP adrese glavnog računala enkapsuliran je u HTTPS promet i poslan na HTTP poslužitelj, na kojem se rješavač obrađuje zahtjeve putem Web API-ja. Trenutačni DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i poslužitelja, ali ne štiti promet od presretanja i ne jamči povjerljivost zahtjeva.
Izvor: opennet.ru