Gli sviluppatori di Firefox hanno annunciato l'espansione della modalità DNS over HTTPS (DoH), che sarà abilitata per impostazione predefinita per gli utenti in Canada (in precedenza, DoH era l'impostazione predefinita solo per gli Stati Uniti). L'abilitazione del DoH per gli utenti canadesi si articola in più fasi: il 20 luglio il DoH verrà attivato per l'1% degli utenti canadesi e, salvo problemi imprevisti, la copertura verrà aumentata al 100% entro la fine di settembre.
Il passaggio degli utenti canadesi di Firefox a DoH viene effettuato con la partecipazione della CIRA (Canadian Internet Registration Authority), che regola lo sviluppo di Internet in Canada ed è responsabile del dominio di primo livello “ca”. CIRA ha inoltre aderito a TRR (Trusted Recursive Resolver) ed è uno dei provider DNS-over-HTTPS disponibili in Firefox.
Dopo aver attivato DoH, sul sistema dell'utente verrà visualizzato un avviso che consentirà, se lo si desidera, di rifiutare il passaggio a DoH e continuare a utilizzare lo schema tradizionale di invio di richieste non crittografate al server DNS del provider. È possibile modificare il provider o disattivare DoH nelle impostazioni della connessione di rete. Oltre ai server CIRA DoH, puoi scegliere i servizi Cloudflare e NextDNS.
I fornitori DoH offerti in Firefox sono selezionati in conformità con i requisiti per risolutori DNS affidabili, secondo i quali l'operatore DNS può utilizzare i dati ricevuti per la risoluzione solo per garantire il funzionamento del servizio, non deve archiviare i registri per più di 24 ore e non può trasferire i dati a terzi ed è tenuto a fornire informazioni circa le modalità di trattamento dei dati. Il servizio deve inoltre impegnarsi a non censurare, filtrare, interferire o bloccare il traffico DNS, salvo nelle situazioni previste dalla legge.
Ricordiamo che il DoH può essere utile per prevenire fughe di informazioni sui nomi host richiesti attraverso i server DNS dei provider, contrastare gli attacchi MITM e lo spoofing del traffico DNS (ad esempio durante la connessione a reti Wi-Fi pubbliche), contrastare il blocco dei DNS livello (DoH non può sostituire una VPN nell'ambito dell'elusione del blocco implementato a livello DPI) o per organizzare il lavoro se è impossibile accedere direttamente ai server DNS (ad esempio, quando si lavora tramite un proxy). Se in una situazione normale le richieste DNS vengono inviate direttamente ai server DNS definiti nella configurazione del sistema, nel caso di DoH la richiesta per determinare l'indirizzo IP dell'host viene incapsulata nel traffico HTTPS e inviata al server HTTP, dove elabora il risolutore richieste tramite l'API Web. Lo standard DNSSEC esistente utilizza la crittografia solo per autenticare client e server, ma non protegge il traffico dalle intercettazioni e non garantisce la riservatezza delle richieste.
Fonte: opennet.ru