Uzņēmums Mozilla līgums ar trešo pakalpojumu sniedzēju DNS, izmantojot HTTPS (DoH, DNS, izmantojot HTTPS) Firefox. Papildus iepriekš piedāvātajiem DNS serveriem CloudFlare (“https://1.1.1.1/dns-query”) un (), iestatījumos tiks iekļauts arī Comcast pakalpojums (https://doh.xfinity.com/dns-query). Aktivizējiet DoH un atlasiet tīkla savienojuma iestatījumos.
Atcerēsimies, ka Firefox 77 iekļāva DNS, izmantojot HTTPS testu, katram klientam nosūtot 10 pārbaudes pieprasījumus un automātiski atlasot DoH nodrošinātāju. Laidienā šī pārbaude bija jāatspējo , jo tas pārvērtās par sava veida DDoS uzbrukumu pakalpojumam NextDNS, kas nevarēja tikt galā ar slodzi.
Firefox piedāvātie DoH nodrošinātāji tiek atlasīti atbilstoši uzticamiem DNS risinātājiem, saskaņā ar kuriem DNS operators risināšanai saņemtos datus var izmantot tikai pakalpojuma darbības nodrošināšanai, nedrīkst glabāt žurnālus ilgāk par 24 stundām, nedrīkst nodot datus trešajām personām un ir pienākums izpaust informāciju par datu apstrādes metodes. Tāpat pakalpojumam ir jāpiekrīt DNS trafiku necenzēt, nefiltrēt, netraucēt vai bloķēt, izņemot likumā paredzētās situācijas.
Var atzīmēt arī notikumus, kas saistīti ar DNS-over-HTTPS Apple ieviesīs atbalstu DNS-over-HTTPS un DNS-over-TLS nākamajos iOS 14 un macOS 11 laidienos, kā arī atbalsts WebExtension paplašinājumiem programmā Safari.
Atgādināsim, ka DoH var būt noderīga, lai novērstu informācijas noplūdi par pieprasītajiem resursdatora nosaukumiem caur pakalpojumu sniedzēju DNS serveriem, apkarotu MITM uzbrukumus un DNS trafika viltošanu (piemēram, pieslēdzoties publiskajam Wi-Fi), apkarotu bloķēšanu DNS. līmenī (DoH nevar aizstāt VPN DPI līmenī ieviestās bloķēšanas apiešanas jomā) vai darba organizēšanai, ja nav iespējams tieši piekļūt DNS serveriem (piemēram, strādājot caur starpniekserveri). Ja normālā situācijā DNS pieprasījumi tiek tieši nosūtīti uz sistēmas konfigurācijā definētajiem DNS serveriem, tad DoH gadījumā pieprasījums noteikt saimniekdatora IP adresi tiek iekapsulēts HTTPS trafikā un nosūtīts uz HTTP serveri, kur atrisinātājs apstrādā. pieprasījumus, izmantojot Web API. Esošais DNSSEC standarts izmanto šifrēšanu tikai klienta un servera autentifikācijai, taču neaizsargā trafiku no pārtveršanas un negarantē pieprasījumu konfidencialitāti.
Avots: opennet.ru