Разработчики Firefox объявили о расширении применения режима DNS поверх HTTPS (DoH, DNS over HTTPS), который будет включён по умолчанию для пользователей из Канады (ранее DoH по умолчанию применялся только для США). Включение DoH для пользователей из Канады разделено на несколько этапов: 20 июля DoH будет активирован для 1% пользователей из Канады и если не возникнет непредвиденных проблем охват будет доведён до 100% к концу сентября.
Перевод канадских пользователей Firefox на DoH проводится при участии организации CIRA (Canadian Internet Registration Authority), регулирующей развитие интернета в Канаде и отвечающей за домен верхнего уровня «ca». Организация CIRA также подключилась к программе TRR (Trusted Recursive Resolver) и включена в число провайдеров DNS-over-HTTPS, доступных в Firefox.
После активации DoH на системе пользователя будет выведено предупреждение, позволяющее при желании отказаться от перехода на DoH и продолжить использование традиционной схемы отправки незашифрованных запросов к DNS-серверу провайдера. Изменить провайдера или отключить DoH можно в настройках сетевого соединения. Помимо DoH-серверов CIRA можно выбрать сервисы Cloudflare и NextDNS.
Предлагаемые в Firefox провайдеры DoH отбираются в соответствии с требованиями к заслуживающим доверие DNS-резолверам, в соответствии с которыми DNS-оператор может использовать получаемые для резолвинга данные только для обеспечения работы сервиса, не должен хранить логи дольше 24 часов, не может передавать данные третьим лицам и обязан раскрывать сведения о методах обработки данных. Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством.
ЭМГ нь үйлчилгээ үзүүлэгчдийн DNS серверүүдээр дамжуулан хүссэн хостын нэрийн талаарх мэдээлэл алдагдахаас сэргийлэх, MITM халдлага болон DNS траффикийг хуурамчаар үйлдэх (жишээлбэл, нийтийн Wi-Fi-д холбогдох үед), DNS түвшинд блоклох (DoH) зэрэгт тустай гэдгийг санаарай. DPI түвшинд хэрэгждэг хаалтыг тойрч гарах хэсэгт VPN-ийг орлуулах боломжгүй) эсвэл DNS серверт шууд хандах боломжгүй тохиолдолд (жишээлбэл, прокси ашиглан ажиллах үед) ажлыг зохион байгуулахад зориулагдсан болно. Ихэвчлэн DNS хүсэлтийг системийн тохиргоонд тодорхойлсон DNS серверүүд рүү шууд илгээдэг бол DoH-ийн хувьд хостын IP хаягийг тодорхойлох хүсэлтийг HTTPS траффик дотор багтааж HTTP сервер рүү илгээдэг бөгөөд үүн дээр шийдвэрлэгч нь хүсэлтийг дамжуулан боловсруулдаг. вэб API. Одоогийн DNSSEC стандарт нь зөвхөн үйлчлүүлэгч болон серверийг баталгаажуулахын тулд шифрлэлтийг ашигладаг боловч траффикийг саатуулахаас хамгаалахгүй бөгөөд хүсэлтийн нууцлалыг баталгаажуулдаггүй.
Эх сурвалж: opennet.ru