מוזילה הציגה ספק DNS-over-HTTPS שלישי עבור Firefox

חברת מוזילה סיכם הסכם עם ספקים שלישיים DNS over HTTPS (DoH, DNS over HTTPS) עבור Firefox. בנוסף לשרתי ה-DNS שהוצעו בעבר CloudFlare ("https://1.1.1.1/dns-query") ו NextDNS (https://dns.nextdns.io/id), שירות Comcast ייכלל גם בהגדרות (https://doh.xfinity.com/dns-query). הפעל את DoH ובחר ספק אחד יכול בהגדרות החיבור לרשת.

בואו נזכור ש-Firefox 77 כלל בדיקת DNS על HTTPS כאשר כל לקוח שולח 10 בקשות בדיקה ובוחר אוטומטית ספק DoH. הסימון הזה היה צריך להיות מושבת בשחרור 77.0.1, שכן היא הפכה למעין מתקפת DDoS על שירות NextDNS, שלא הצליחה להתמודד עם העומס.

ספקי ה-DoH המוצעים בפיירפוקס נבחרים בהתאם דרישות לפותרי DNS מהימנים, לפיהם מפעיל ה-DNS יכול להשתמש בנתונים המתקבלים לפתרון רק כדי להבטיח את פעולת השירות, אסור לאחסן לוגים במשך יותר מ-24 שעות, אינו יכול להעביר נתונים לצדדים שלישיים ומחויב לחשוף מידע אודות שיטות עיבוד נתונים. על השירות גם להסכים שלא לצנזר, לסנן, להפריע או לחסום תעבורת DNS, אלא במצבים הקבועים בחוק.

ניתן לציין גם אירועים הקשורים ל-DNS-over-HTTPS החלטה אפל תטמיע תמיכה עבור DNS-over-HTTPS ו-DNS-over-TLS במהדורות עתידיות של iOS 14 ו-macOS 11, כמו גם הוסף תמיכה בהרחבות WebExtension בספארי.

נזכיר כי DoH יכול להיות שימושי למניעת דליפות מידע על שמות המארחים המבוקשים דרך שרתי ה-DNS של ספקים, מאבק בהתקפות MITM וזיוף תעבורת DNS (לדוגמה, בעת חיבור ל-Wi-Fi ציבורי), מניעת חסימה ב-DNS רמת (DoH לא יכול להחליף VPN בתחום של עקיפת חסימה המיושמת ברמת DPI) או לארגון עבודה אם אי אפשר לגשת ישירות לשרתי DNS (לדוגמה, בעבודה דרך פרוקסי). אם במצב רגיל בקשות DNS נשלחות ישירות לשרתי DNS המוגדרים בתצורת המערכת, אז במקרה של DoH, הבקשה לקביעת כתובת ה-IP של המארח מובלעת בתעבורת HTTPS ונשלחת לשרת ה-HTTP, שם הפותר מעבד בקשות דרך ה-API של האינטרנט. תקן DNSSEC הקיים משתמש בהצפנה רק כדי לאמת את הלקוח והשרת, אך אינו מגן על התעבורה מפני יירוט ואינו מבטיח את סודיות הבקשות.

מקור: OpenNet.ru