Firefox-ի մշակողները հայտարարել են DNS-ի ընդլայնման մասին HTTPS (DoH) ռեժիմով, որը լռելյայն միացված կլինի Կանադայի օգտատերերի համար (նախկինում DoH-ը լռելյայն էր միայն ԱՄՆ-ի համար): Կանադացի օգտատերերի համար DoH-ի միացումը բաժանված է մի քանի փուլերի. հուլիսի 20-ին DoH-ը կակտիվանա կանադացի օգտատերերի 1%-ի համար և, բացառելով անսպասելի խնդիրների, ծածկույթը մինչև սեպտեմբերի վերջ կավելացվի մինչև 100%:
Կանադական Firefox-ի օգտատերերի անցումը DoH-ին իրականացվում է CIRA-ի (Կանադական ինտերնետ գրանցման մարմին) մասնակցությամբ, որը կարգավորում է ինտերնետի զարգացումը Կանադայում և պատասխանատու է վերին մակարդակի «ca» տիրույթի համար: CIRA-ն նաև գրանցվել է TRR-ում (Trusted Recursive Resolver) և հանդիսանում է Firefox-ում հասանելի DNS-over-HTTPS մատակարարներից մեկը:
DoH-ն ակտիվացնելուց հետո օգտատիրոջ համակարգում կցուցադրվի նախազգուշացում, որը, ցանկության դեպքում, թույլ կտա հրաժարվել DoH-ին անցումից և շարունակել օգտագործել չգաղտնագրված հարցումները մատակարարի DNS սերվերին ուղարկելու ավանդական սխեման: Դուք կարող եք փոխել մատակարարին կամ անջատել DoH-ը ցանցային կապի կարգավորումներում: Բացի CIRA DoH սերվերներից, կարող եք ընտրել Cloudflare և NextDNS ծառայություններ:
Firefox-ում առաջարկվող DoH պրովայդերները ընտրվում են վստահելի DNS լուծիչների պահանջներին համապատասխան, որոնց համաձայն՝ DNS օպերատորը կարող է օգտագործել ստացված տվյալները միայն ծառայության աշխատանքը ապահովելու համար, չպետք է պահի տեղեկամատյանները 24 ժամից ավելի, և չի կարող տվյալներ փոխանցել երրորդ կողմերին և պահանջվում է բացահայտել տվյալների մշակման մեթոդների մասին տեղեկատվություն: Ծառայությունը պետք է նաև համաձայնի չգրաքննել, զտել, չխանգարել կամ արգելափակել DNS տրաֆիկը, բացառությամբ օրենքով նախատեսված դեպքերի:
Հիշենք, որ DoH-ը կարող է օգտակար լինել պրովայդերների DNS սերվերների միջոցով պահանջվող հոսթների անունների մասին տեղեկատվության արտահոսքը կանխելու, MITM հարձակումների և DNS տրաֆիկի կեղծման դեմ (օրինակ՝ հանրային Wi-Fi-ին միանալիս), DNS-ում արգելափակմանը հակազդելու համար։ մակարդակը (DoH-ը չի կարող փոխարինել VPN-ին DPI մակարդակում իրականացվող արգելափակումը շրջանցելու տարածքում) կամ աշխատանքի կազմակերպման համար, եթե անհնար է ուղղակիորեն մուտք գործել DNS սերվերներ (օրինակ, վստահված անձի միջոցով աշխատելիս): Եթե նորմալ իրավիճակում DNS հարցումներն ուղղակիորեն ուղարկվում են համակարգի կազմաձևում սահմանված DNS սերվերներին, ապա DoH-ի դեպքում հյուրընկալողի IP հասցեն որոշելու հարցումը կցվում է HTTPS տրաֆիկի մեջ և ուղարկվում է HTTP սերվեր, որտեղ լուծիչը մշակում է: հարցումներ վեբ API-ի միջոցով: Գոյություն ունեցող DNSSEC ստանդարտը օգտագործում է կոդավորումը միայն հաճախորդի և սերվերի նույնականացման համար, սակայն չի պաշտպանում երթևեկությունը գաղտնալսումից և չի երաշխավորում հարցումների գաղտնիությունը:
Source: opennet.ru