„Firefox“ kūrėjai paskelbė apie DNS per HTTPS (DoH) režimo išplėtimą, kuris Kanados vartotojams bus įjungtas pagal numatytuosius nustatymus (anksčiau DoH buvo numatytasis tik JAV). DoH įgalinimas Kanados naudotojams yra padalintas į kelis etapus: Liepos 20 d. DoH bus suaktyvintas 1 % Kanados naudotojų ir, išvengiant netikėtų problemų, iki rugsėjo pabaigos aprėptis bus padidinta iki 100 %.
Kanados Firefox vartotojų perėjimas prie DoH vykdomas dalyvaujant CIRA (Canadian Internet Registration Authority), kuri reguliuoja interneto plėtrą Kanadoje ir yra atsakinga už aukščiausio lygio domeną „ca“. CIRA taip pat prisiregistravo prie TRR (Trusted Recursive Resolver) ir yra vienas iš DNS per HTTPS tiekėjų, pasiekiamų Firefox.
Suaktyvinus DoH, vartotojo sistemoje bus rodomas įspėjimas, leidžiantis, jei pageidaujama, atsisakyti perėjimo prie DoH ir toliau naudoti tradicinę nešifruotų užklausų siuntimo į teikėjo DNS serverį schemą. Tinklo ryšio nustatymuose galite pakeisti teikėją arba išjungti DoH. Be CIRA DoH serverių, galite pasirinkti Cloudflare ir NextDNS paslaugas.
„Firefox“ siūlomi DoH teikėjai parenkami pagal reikalavimus patikimiems DNS sprendėjams, pagal kuriuos DNS operatorius sprendimui gautus duomenis gali naudoti tik paslaugos veikimui užtikrinti, negali saugoti žurnalų ilgiau nei 24 valandas ir negali. perduoti duomenis tretiesiems asmenims ir privalo atskleisti informaciją apie duomenų tvarkymo būdus. Paslauga taip pat turi sutikti necenzūruoti, nefiltruoti, netrukdyti ir neblokuoti DNS srauto, išskyrus įstatymų numatytas situacijas.
Prisiminkime, kad DoH gali būti naudinga siekiant užkirsti kelią informacijos nutekėjimui apie prašomus pagrindinio kompiuterio pavadinimus per teikėjų DNS serverius, kovojant su MITM atakomis ir DNS srauto klastojimu (pavyzdžiui, prisijungiant prie viešojo Wi-Fi), kovojant su blokavimu DNS. lygiu (DoH negali pakeisti VPN DPI lygiu įdiegto blokavimo apėjimo srityje) arba darbo organizavimui, jei neįmanoma tiesiogiai pasiekti DNS serverių (pavyzdžiui, dirbant per tarpinį serverį). Jei įprastoje situacijoje DNS užklausos yra tiesiogiai siunčiamos į sistemos konfigūracijoje nurodytus DNS serverius, tai DoH atveju užklausa nustatyti pagrindinio kompiuterio IP adresą yra inkapsuliuojama į HTTPS srautą ir siunčiama į HTTP serverį, kur sprendiklis apdoroja. užklausų per žiniatinklio API. Esamas DNSSEC standartas naudoja šifravimą tik kliento ir serverio autentifikavimui, tačiau neapsaugo srauto nuo perėmimo ir negarantuoja užklausų konfidencialumo.
Šaltinis: opennet.ru