Società Mozilla accordo con fornitori terzi DNS over HTTPS (DoH, DNS over HTTPS) per Firefox. Oltre ai server DNS precedentemente offerti CloudFlare (“https://1.1.1.1/dns-query”) e (), nelle impostazioni sarà incluso anche il servizio Comcast (https://doh.xfinity.com/dns-query). Attiva DoH e seleziona nelle impostazioni della connessione di rete.
Ricordiamo che Firefox 77 includeva un test DNS su HTTPS in cui ciascun client inviava 10 richieste di test e selezionava automaticamente un provider DoH. Questo controllo doveva essere disabilitato nel rilascio , poiché si è trasformato in una sorta di attacco DDoS al servizio NextDNS, che non è riuscito a far fronte al carico.
I fornitori DoH offerti in Firefox sono selezionati in base a risolutori DNS affidabili, secondo i quali l'operatore DNS può utilizzare i dati ricevuti per la risoluzione solo per garantire il funzionamento del servizio, non deve conservare i log per più di 24 ore, non può trasferire dati a terzi ed è obbligato a divulgare informazioni su modalità di trattamento dei dati. Il servizio deve inoltre impegnarsi a non censurare, filtrare, interferire o bloccare il traffico DNS, salvo nelle situazioni previste dalla legge.
È inoltre possibile annotare gli eventi relativi a DNS-over-HTTPS Apple implementerà il supporto per DNS-over-HTTPS e DNS-over-TLS nelle versioni future di iOS 14 e macOS 11, oltre a supporto per le estensioni WebExtension in Safari.
Ricordiamo che il DoH può essere utile per prevenire fughe di informazioni sui nomi host richiesti attraverso i server DNS dei provider, contrastare gli attacchi MITM e lo spoofing del traffico DNS (ad esempio durante la connessione a reti Wi-Fi pubbliche), contrastare il blocco dei DNS livello (DoH non può sostituire una VPN nell'ambito dell'elusione del blocco implementato a livello DPI) o per organizzare il lavoro se è impossibile accedere direttamente ai server DNS (ad esempio, quando si lavora tramite un proxy). Se in una situazione normale le richieste DNS vengono inviate direttamente ai server DNS definiti nella configurazione del sistema, nel caso di DoH la richiesta per determinare l'indirizzo IP dell'host viene incapsulata nel traffico HTTPS e inviata al server HTTP, dove elabora il risolutore richieste tramite l'API Web. Lo standard DNSSEC esistente utilizza la crittografia solo per autenticare client e server, ma non protegge il traffico dalle intercettazioni e non garantisce la riservatezza delle richieste.
Fonte: opennet.ru