Devlopè Firefox yo te anonse ekspansyon mòd DNS sou HTTPS (DoH), ki pral aktive pa default pou itilizatè yo nan Kanada (anvan, DoH te sèlman default pou US la). Pèmèt DoH pou itilizatè Kanadyen divize an plizyè etap: Nan dat 20 Jiyè, DoH pral aktive pou 1% itilizatè Kanadyen epi, san pwoblèm inatandi, pwoteksyon yo pral ogmante a 100% nan fen mwa septanm nan.
Tranzisyon itilizatè Kanadyen Firefox pou DoH fèt ak patisipasyon CIRA (Otorite Enskripsyon Entènèt Kanadyen), ki kontwole devlopman Entènèt la nan Kanada e ki responsab domèn "ca". CIRA te enskri tou pou TRR (Trusted Recursive Resolver) epi li se youn nan founisè DNS-over-HTTPS ki disponib nan Firefox.
Apre aktive DoH, yon avètisman pral parèt sou sistèm itilizatè a, ki pèmèt, si yo vle, refize tranzisyon an nan DoH epi kontinye itilize konplo tradisyonèl la pou voye demann ki pa chiffres bay sèvè DNS founisè a. Ou ka chanje founisè a oswa enfim DoH nan paramèt koneksyon rezo a. Anplis de serveurs CIRA DoH, ou ka chwazi sèvis Cloudflare ak NextDNS.
Founisè DoH yo ofri nan Firefox yo chwazi an akò ak egzijans pou rezolisyon DNS ki fè konfyans, dapre ki operatè dns la ka itilize done yo resevwa pou rezolisyon sèlman pou asire operasyon an nan sèvis la, pa dwe estoke mòso bwa pi lontan pase 24 èdtan, epi yo pa kapab. transfere done bay twazyèm pati epi li oblije divilge enfòmasyon sou metòd pwosesis done yo. Sèvis la dwe dakò tou pou pa sansi, filtre, entèfere oswa bloke trafik DNS, eksepte nan sitiyasyon lalwa bay.
Se pou nou sonje ke DoH ka itil pou anpeche fwit enfòmasyon sou non lame yo mande yo atravè sèvè DNS founisè yo, konbat atak MITM ak DNS trafik spoofing (pa egzanp, lè w konekte ak Wi-Fi piblik), kontrekare bloke nan DNS la. nivo (DoH pa ka ranplase yon vpn nan zòn nan kontourne bloke aplike nan nivo DPI) oswa pou òganize travay si li enposib aksè dirèkteman nan sèvè DNS (pa egzanp, lè w ap travay atravè yon prokurasyon). Si nan yon sitiyasyon nòmal demann DNS yo dirèkteman voye nan sèvè dns defini nan konfigirasyon sistèm lan, Lè sa a, nan ka a nan DoH, demann lan pou detèmine adrès IP lame a enkapsule nan trafik HTTPS epi voye bay sèvè HTTP a, kote rezolisyon an ap travay. demann atravè API Web la. Estanda DNSSEC ki deja egziste a sèvi ak chifreman sèlman pou otantifye kliyan an ak sèvè, men li pa pwoteje trafik kont entèsepsyon epi li pa garanti konfidansyalite demann yo.
Sous: opennet.ru