DNS-over-HTTPS יופעל כברירת מחדל בפיירפוקס עבור משתמשים קנדיים

מפתחי פיירפוקס הכריזו על הרחבת מצב DNS over HTTPS (DoH), אשר יופעל כברירת מחדל עבור משתמשים בקנדה (בעבר, DoH היה ברירת המחדל עבור ארה"ב בלבד). הפעלת DoH עבור משתמשים קנדיים מחולקת למספר שלבים: ב-20 ביולי, DoH יופעל עבור 1% מהמשתמשים הקנדיים, ולמעט בעיות בלתי צפויות, הכיסוי יוגדל ל-100% עד סוף ספטמבר.

המעבר של משתמשי פיירפוקס קנדיים ל-DoH מתבצע בהשתתפות CIRA (Canadian Internet Registration Authority), המסדירה את התפתחות האינטרנט בקנדה ואחראית על התחום ברמה העליונה "ca". CIRA גם נרשמה ל-TRR (Recursive Resolver מהימן) והיא אחת מספקיות ה-DNS-over-HTTPS הזמינות בפיירפוקס.

לאחר הפעלת DoH, תוצג אזהרה במערכת המשתמש, המאפשרת, אם תרצה, לסרב למעבר ל-DoH ולהמשיך להשתמש בסכימה המסורתית של שליחת בקשות לא מוצפנות לשרת ה-DNS של הספק. אתה יכול לשנות את הספק או להשבית את DoH בהגדרות החיבור לרשת. בנוסף לשרתי CIRA DoH, אתה יכול לבחור בשירותי Cloudflare ו-NextDNS.

ספקי DoH המוצעים בפיירפוקס נבחרים בהתאם לדרישות לפותרי DNS מהימנים, לפיהם מפעיל ה-DNS יכול להשתמש בנתונים המתקבלים לפתרון רק כדי להבטיח את פעולת השירות, אסור לאחסן לוגים יותר מ-24 שעות, ואינו יכול להעביר נתונים לצדדים שלישיים ונדרש לחשוף מידע על שיטות עיבוד נתונים. על השירות גם להסכים שלא לצנזר, לסנן, להפריע או לחסום תעבורת DNS, אלא במצבים הקבועים בחוק.

נזכיר כי DoH יכול להיות שימושי למניעת דליפות מידע על שמות המארחים המבוקשים דרך שרתי ה-DNS של ספקים, מאבק בהתקפות MITM וזיוף תעבורת DNS (לדוגמה, בעת חיבור ל-Wi-Fi ציבורי), מניעת חסימה ב-DNS רמת (DoH לא יכול להחליף VPN בתחום של עקיפת חסימה המיושמת ברמת DPI) או לארגון עבודה אם אי אפשר לגשת ישירות לשרתי DNS (לדוגמה, בעבודה דרך פרוקסי). אם במצב רגיל בקשות DNS נשלחות ישירות לשרתי DNS המוגדרים בתצורת המערכת, אז במקרה של DoH, הבקשה לקביעת כתובת ה-IP של המארח מובלעת בתעבורת HTTPS ונשלחת לשרת ה-HTTP, שם הפותר מעבד בקשות דרך ה-API של האינטרנט. תקן DNSSEC הקיים משתמש בהצפנה רק כדי לאמת את הלקוח והשרת, אך אינו מגן על התעבורה מפני יירוט ואינו מבטיח את סודיות הבקשות.

מקור: OpenNet.ru