Firefox әзірлеушілері Канададағы пайдаланушылар үшін әдепкі бойынша қосылатын HTTPS (DoH) режимі арқылы DNS кеңейтілгенін жариялады (бұрын DoH тек АҚШ үшін әдепкі болған). Канадалық пайдаланушылар үшін DoH мүмкіндігін қосу бірнеше кезеңге бөлінеді: 20 шілдеде DoH канадалық пайдаланушылардың 1%-ы үшін іске қосылады және күтпеген мәселелерге жол бермей, қыркүйек айының соңына қарай қамту 100%-ға дейін ұлғайтылады.
Канадалық Firefox қолданушыларының DoH жүйесіне көшуі Канададағы интернеттің дамуын реттейтін және жоғары деңгейдегі «ca» доменіне жауап беретін CIRA (Канадалық Интернетті тіркеу органы) қатысуымен жүзеге асырылады. CIRA сонымен қатар TRR (Сенімді рекурсивті шешуші) қызметіне тіркелді және Firefox жүйесінде қолжетімді HTTPS арқылы DNS провайдерлерінің бірі болып табылады.
DoH белсендірілгеннен кейін пайдаланушының жүйесінде ескерту көрсетіледі, ол қажет болса, DoH жүйесіне ауысудан бас тартуға және провайдердің DNS серверіне шифрланбаған сұрауларды жіберудің дәстүрлі схемасын пайдалануды жалғастыруға мүмкіндік береді. Желілік қосылым параметрлерінде провайдерді өзгертуге немесе DoH қызметін өшіруге болады. CIRA DoH серверлеріне қоса, Cloudflare және NextDNS қызметтерін таңдауға болады.
Firefox-та ұсынылатын DoH провайдерлері сенімді DNS шешушілеріне қойылатын талаптарға сәйкес таңдалады, оған сәйкес DNS операторы алынған деректерді шешу үшін тек қызметтің жұмысын қамтамасыз ету үшін пайдалана алады, журналдарды 24 сағаттан артық сақтамауы керек және деректерді үшінші тұлғаларға беруге және деректерді өңдеу әдістері туралы ақпаратты ашуға міндетті. Сондай-ақ, қызмет заңда көзделген жағдайларды қоспағанда, DNS трафигін цензураға, сүзуге, кедергі жасамауға немесе бұғаттамауға келісуі керек.
Еске салайық, DoH провайдерлердің DNS серверлері арқылы сұралған хост атаулары туралы ақпараттың ағып кетуіне жол бермеу, MITM шабуылдарымен және DNS трафигі спуфингімен күресу (мысалы, жалпыға ортақ Wi-Fi желісіне қосылу кезінде), DNS-те блоктауға қарсы тұру үшін пайдалы болуы мүмкін. деңгейі (DoH DPI деңгейінде жүзеге асырылатын бұғаттауды айналып өту аймағында VPN-ді алмастыра алмайды) немесе DNS серверлеріне тікелей қол жеткізу мүмкін болмаса, жұмысты ұйымдастыру үшін (мысалы, прокси арқылы жұмыс істегенде). Егер қалыпты жағдайда DNS сұраулары жүйе конфигурациясында анықталған DNS серверлеріне тікелей жіберілсе, DoH жағдайында хосттың IP мекенжайын анықтауға сұрау HTTPS трафигінде инкапсуляцияланады және шешуші өңдейтін HTTP серверіне жіберіледі. Web API арқылы сұраулар. Қолданыстағы DNSSEC стандарты тек клиент пен сервердің аутентификациясы үшін шифрлауды пайдаланады, бірақ трафикті ұстап қалудан қорғамайды және сұраулардың құпиялылығына кепілдік бермейді.
Ақпарат көзі: opennet.ru