Mozilla Company megállapodás harmadik szolgáltatókkal DNS HTTPS-n keresztül (DoH, DNS HTTPS-n keresztül) Firefoxhoz. A korábban felajánlott DNS-kiszolgálókon kívül a CloudFlare („https://1.1.1.1/dns-query”) és (), a Comcast szolgáltatás is szerepelni fog a beállítások között (https://doh.xfinity.com/dns-query). Aktiválja a DoH-t, és válassza ki a hálózati kapcsolat beállításaiban.
Emlékezzünk arra, hogy a Firefox 77 tartalmazott egy HTTPS-n keresztüli DNS-tesztet, amelyben minden kliens 10 tesztkérést küld, és automatikusan kiválaszt egy DoH-szolgáltatót. Ezt az ellenőrzést le kellett tiltani a kiadásban , mivel ez egyfajta DDoS támadásba fordult a NextDNS szolgáltatás ellen, amely nem tudott megbirkózni a terheléssel.
A Firefoxban kínált DoH-szolgáltatók kiválasztása ennek megfelelően történik megbízható DNS-feloldóknak, mely szerint a DNS-üzemeltető a feloldáshoz kapott adatokat kizárólag a szolgáltatás működésének biztosítására használhatja fel, 24 óránál tovább nem tárolhat naplókat, nem adhat át adatokat harmadik félnek, valamint köteles a adatfeldolgozási módszerek. A szolgáltatásnak azt is el kell fogadnia, hogy nem cenzúrázza, nem szűri, nem zavarja vagy blokkolja a DNS-forgalmat, kivéve a törvényben előírt helyzeteket.
A DNS-over-HTTPS-hez kapcsolódó események is megjegyezhetők Az Apple bevezeti a DNS-over-HTTPS és a DNS-over-TLS támogatását az iOS 14 és a macOS 11 jövőbeli kiadásaiban, valamint a WebExtension bővítmények támogatása a Safariban.
Emlékezzünk vissza, hogy a DoH hasznos lehet a kért gazdagépnevekkel kapcsolatos információk kiszivárogtatásának megakadályozására a szolgáltatók DNS-kiszolgálóin keresztül, a MITM-támadások és a DNS-forgalom meghamisítása elleni küzdelemben (például nyilvános Wi-Fi-hez való csatlakozáskor), a DNS-blokkolások elleni küzdelemben. szinten (a DoH nem helyettesítheti a VPN-t a DPI-szinten megvalósított blokkolás megkerülésének területén) vagy a munka megszervezéséhez, ha lehetetlen közvetlenül hozzáférni a DNS-kiszolgálókhoz (például proxy-n keresztül végzett munka során). Ha normál helyzetben a DNS kérések közvetlenül a rendszerkonfigurációban meghatározott DNS szerverekhez kerülnek, akkor DoH esetén a gazdagép IP-címének meghatározására irányuló kérés HTTPS forgalomba kerül, és elküldésre kerül a HTTP szerverre, ahol a feloldó feldolgozza. kéréseket a webes API-n keresztül. A meglévő DNSSEC szabvány csak a kliens és a szerver hitelesítésére használ titkosítást, de nem védi a forgalmat az elfogástól, és nem garantálja a kérések titkosságát.
Forrás: opennet.ru