Mozilla компаниясы Firefox үшін HTTPS арқылы DNS (DoH, HTTPS арқылы DNS) үшінші провайдерлерімен келісім. Бұрын ұсынылған DNS серверлеріне қосымша CloudFlare («https://1.1.1.1/dns-query») және (), Comcast қызметі де параметрлерге қосылады (https://doh.xfinity.com/dns-query). DoH белсендіріңіз және таңдаңыз желі қосылымының параметрлерінде.
Firefox 77 әр клиентке 10 сынақ сұрауын жіберетін және DoH провайдерін автоматты түрде таңдайтын HTTPS арқылы DNS сынағы бар екенін еске түсірейік. Бұл тексеруді шығару кезінде өшіру керек болды , өйткені ол жүктемені көтере алмайтын NextDNS қызметіне DDoS шабуылының түріне айналды.
Firefox-та ұсынылған DoH провайдерлері сәйкес таңдалады сенімді DNS шешушілеріне, оған сәйкес DNS операторы шешу үшін алынған деректерді тек қызметтің жұмысын қамтамасыз ету үшін пайдалана алады, журналдарды 24 сағаттан артық сақтамауы керек, деректерді үшінші тұлғаларға бере алмайды және ақпаратты ашуға міндетті. мәліметтерді өңдеу әдістері. Сондай-ақ, қызмет заңда көзделген жағдайларды қоспағанда, DNS трафигін цензураға, сүзуге, кедергі жасамауға немесе бұғаттамауға келісуі керек.
DNS-over-HTTPS-ке қатысты оқиғаларды да атап өтуге болады Apple DNS-over-HTTPS және DNS-over-TLS қолдауын iOS 14 және macOS 11-дің болашақ шығарылымдарында, сондай-ақ Safari ішіндегі WebExtension кеңейтімдерін қолдау.
Еске салайық, DoH провайдерлердің DNS серверлері арқылы сұралған хост атаулары туралы ақпараттың ағып кетуіне жол бермеу, MITM шабуылдарымен және DNS трафигі спуфингімен күресу (мысалы, жалпыға ортақ Wi-Fi желісіне қосылу кезінде), DNS-те блоктауға қарсы тұру үшін пайдалы болуы мүмкін. деңгейі (DoH DPI деңгейінде жүзеге асырылатын бұғаттауды айналып өту аймағында VPN-ді алмастыра алмайды) немесе DNS серверлеріне тікелей қол жеткізу мүмкін болмаса, жұмысты ұйымдастыру үшін (мысалы, прокси арқылы жұмыс істегенде). Егер қалыпты жағдайда DNS сұраулары жүйе конфигурациясында анықталған DNS серверлеріне тікелей жіберілсе, DoH жағдайында хосттың IP мекенжайын анықтауға сұрау HTTPS трафигінде инкапсуляцияланады және шешуші өңдейтін HTTP серверіне жіберіледі. Web API арқылы сұраулар. Қолданыстағы DNSSEC стандарты тек клиент пен сервердің аутентификациясы үшін шифрлауды пайдаланады, бірақ трафикті ұстап қалудан қорғамайды және сұраулардың құпиялылығына кепілдік бермейді.
Ақпарат көзі: opennet.ru