Firefox izstrādātāji ir paziņojuši par DNS, izmantojot HTTPS (DoH) režīma paplašināšanu, kas pēc noklusējuma būs iespējots lietotājiem Kanādā (iepriekš DoH bija tikai noklusējums ASV). DoH iespējošana Kanādas lietotājiem ir sadalīta vairākos posmos: 20. jūlijā DoH tiks aktivizēts 1% Kanādas lietotāju, un, izslēdzot negaidītas problēmas, pārklājums tiks palielināts līdz 100% līdz septembra beigām.
Kanādas Firefox lietotāju pāreja uz DoH tiek veikta, piedaloties CIRA (Canadian Internet Registration Authority), kas regulē interneta attīstību Kanādā un ir atbildīga par augstākā līmeņa domēnu “ca”. CIRA ir arī reģistrējies TRR (Trusted Recursive Resolver) un ir viens no DNS over-HTTPS nodrošinātājiem, kas pieejami pārlūkprogrammā Firefox.
Pēc DoH aktivizēšanas lietotāja sistēmā tiks parādīts brīdinājums, kas ļaus, ja vēlas, atteikt pāreju uz DoH un turpināt izmantot tradicionālo shēmu nešifrētu pieprasījumu nosūtīšanai uz pakalpojumu sniedzēja DNS serveri. Tīkla savienojuma iestatījumos varat mainīt pakalpojumu sniedzēju vai atspējot DoH. Papildus CIRA DoH serveriem varat izvēlēties Cloudflare un NextDNS pakalpojumus.
Firefox piedāvātie DoH nodrošinātāji tiek atlasīti saskaņā ar uzticamu DNS risinātāju prasībām, saskaņā ar kurām DNS operators var izmantot atrisināšanai saņemtos datus tikai pakalpojuma darbības nodrošināšanai, nedrīkst glabāt žurnālus ilgāk par 24 stundām un nedrīkst nodot datus trešajām personām un ir pienākums atklāt informāciju par datu apstrādes metodēm. Tāpat pakalpojumam ir jāpiekrīt DNS trafiku necenzēt, nefiltrēt, netraucēt vai bloķēt, izņemot likumā paredzētās situācijas.
Atgādināsim, ka DoH var būt noderīga, lai novērstu informācijas noplūdi par pieprasītajiem resursdatora nosaukumiem caur pakalpojumu sniedzēju DNS serveriem, apkarotu MITM uzbrukumus un DNS trafika viltošanu (piemēram, pieslēdzoties publiskajam Wi-Fi), apkarotu bloķēšanu DNS. līmenī (DoH nevar aizstāt VPN DPI līmenī ieviestās bloķēšanas apiešanas jomā) vai darba organizēšanai, ja nav iespējams tieši piekļūt DNS serveriem (piemēram, strādājot caur starpniekserveri). Ja normālā situācijā DNS pieprasījumi tiek tieši nosūtīti uz sistēmas konfigurācijā definētajiem DNS serveriem, tad DoH gadījumā pieprasījums noteikt saimniekdatora IP adresi tiek iekapsulēts HTTPS trafikā un nosūtīts uz HTTP serveri, kur atrisinātājs apstrādā. pieprasījumus, izmantojot Web API. Esošais DNSSEC standarts izmanto šifrēšanu tikai klienta un servera autentifikācijai, taču neaizsargā trafiku no pārtveršanas un negarantē pieprasījumu konfidencialitāti.
Avots: opennet.ru