A Firefox fejlesztői bejelentették a DNS over HTTPS (DoH) mód kiterjesztését, amely alapértelmezés szerint engedélyezve lesz a kanadai felhasználók számára (korábban a DoH csak az Egyesült Államokban volt az alapértelmezett). A DoH engedélyezése a kanadai felhasználók számára több szakaszból áll: július 20-án a kanadai felhasználók 1%-ánál aktiválják a DoH-t, és a váratlan problémákat leszámítva a lefedettséget 100%-ra emelik szeptember végére.
A kanadai Firefox-felhasználók átállása a DoH-ra a CIRA (Canadian Internet Registration Authority) részvételével történik, amely szabályozza az internet fejlődését Kanadában, és felelős a „ca” legfelső szintű domainért. A CIRA a TRR-re (Trusted Recursive Resolver) is feliratkozott, és a Firefoxban elérhető DNS-over-HTTPS szolgáltatók egyike.
A DoH aktiválása után egy figyelmeztetés jelenik meg a felhasználó rendszerén, amely lehetővé teszi, hogy megtagadja a DoH-ra való átállást, és folytassa a hagyományos kódolás nélküli kérések elküldését a szolgáltató DNS-kiszolgálójára. A hálózati kapcsolat beállításaiban módosíthatja a szolgáltatót vagy letilthatja a DoH-t. A CIRA DoH szerverek mellett választhat Cloudflare és NextDNS szolgáltatásokat.
A Firefoxban kínált DoH-szolgáltatók kiválasztása a megbízható DNS-feloldókra vonatkozó követelményeknek megfelelően történik, amelyek szerint a DNS-üzemeltető a feloldáshoz kapott adatokat csak a szolgáltatás működésének biztosítására használhatja fel, nem tárolhat 24 óránál tovább naplókat, és nem tárolhat. adatokat továbbít harmadik félnek, és köteles tájékoztatást adni az adatkezelési módokról. A szolgáltatásnak azt is el kell fogadnia, hogy nem cenzúrázza, nem szűri, nem zavarja vagy blokkolja a DNS-forgalmat, kivéve a törvényben meghatározott helyzeteket.
Emlékezzünk vissza, hogy a DoH hasznos lehet a kért gazdagépnevekkel kapcsolatos információk kiszivárogtatásának megakadályozására a szolgáltatók DNS-kiszolgálóin keresztül, a MITM-támadások és a DNS-forgalom meghamisítása elleni küzdelemben (például nyilvános Wi-Fi-hez való csatlakozáskor), a DNS-blokkolások elleni küzdelemben. szinten (a DoH nem helyettesítheti a VPN-t a DPI-szinten megvalósított blokkolás megkerülésének területén) vagy a munka megszervezéséhez, ha lehetetlen közvetlenül hozzáférni a DNS-kiszolgálókhoz (például proxy-n keresztül végzett munka során). Ha normál helyzetben a DNS kérések közvetlenül a rendszerkonfigurációban meghatározott DNS szerverekhez kerülnek, akkor DoH esetén a gazdagép IP-címének meghatározására irányuló kérés HTTPS forgalomba kerül, és elküldésre kerül a HTTP szerverre, ahol a feloldó feldolgozza. kéréseket a webes API-n keresztül. A meglévő DNSSEC szabvány csak a kliens és a szerver hitelesítésére használ titkosítást, de nem védi a forgalmat az elfogástól, és nem garantálja a kérések titkosságát.
Forrás: opennet.ru