Pembangun Firefox telah mengumumkan pengembangan mod DNS melalui HTTPS (DoH), yang akan didayakan secara lalai untuk pengguna di Kanada (sebelum ini, DoH hanyalah mod lalai untuk AS). Mendayakan DoH untuk pengguna Kanada dibahagikan kepada beberapa peringkat: Pada 20 Julai, DoH akan diaktifkan untuk 1% pengguna Kanada dan, kecuali masalah yang tidak dijangka, liputan akan ditingkatkan kepada 100% menjelang akhir September.
Peralihan pengguna Firefox Kanada kepada DoH dijalankan dengan penyertaan CIRA (Pihak Berkuasa Pendaftaran Internet Kanada), yang mengawal pembangunan Internet di Kanada dan bertanggungjawab untuk domain peringkat atasan "ca". CIRA juga telah mendaftar untuk TRR (Trusted Recursive Resolver) dan merupakan salah satu penyedia DNS-over-HTTPS yang tersedia di Firefox.
Selepas mengaktifkan DoH, amaran akan dipaparkan pada sistem pengguna, membenarkan, jika mahu, menolak peralihan kepada DoH dan terus menggunakan skim tradisional menghantar permintaan yang tidak disulitkan ke pelayan DNS pembekal. Anda boleh menukar pembekal atau melumpuhkan DoH dalam tetapan sambungan rangkaian. Selain pelayan CIRA DoH, anda boleh memilih perkhidmatan Cloudflare dan NextDNS.
Penyedia DoH yang ditawarkan dalam Firefox dipilih mengikut keperluan untuk penyelesai DNS yang boleh dipercayai, mengikut mana pengendali DNS boleh menggunakan data yang diterima untuk penyelesaian hanya untuk memastikan operasi perkhidmatan, tidak boleh menyimpan log lebih lama daripada 24 jam, dan tidak boleh memindahkan data kepada pihak ketiga dan dikehendaki mendedahkan maklumat tentang kaedah pemprosesan data. Perkhidmatan ini juga mesti bersetuju untuk tidak menapis, menapis, mengganggu atau menyekat trafik DNS, kecuali dalam situasi yang diperuntukkan oleh undang-undang.
Mari kita ingat bahawa DoH boleh berguna untuk mencegah kebocoran maklumat tentang nama hos yang diminta melalui pelayan DNS penyedia, memerangi serangan MITM dan penipuan trafik DNS (contohnya, apabila menyambung ke Wi-Fi awam), mengatasi sekatan di DNS tahap (DoH tidak boleh menggantikan VPN dalam bidang memintas menyekat yang dilaksanakan di peringkat DPI) atau untuk mengatur kerja jika mustahil untuk mengakses pelayan DNS secara langsung (contohnya, apabila bekerja melalui proksi). Jika dalam keadaan biasa permintaan DNS dihantar terus ke pelayan DNS yang ditakrifkan dalam konfigurasi sistem, maka dalam kes DoH, permintaan untuk menentukan alamat IP hos dirangkumkan dalam trafik HTTPS dan dihantar ke pelayan HTTP, di mana penyelesai memproses permintaan melalui API Web. Standard DNSSEC sedia ada menggunakan penyulitan hanya untuk mengesahkan klien dan pelayan, tetapi tidak melindungi trafik daripada pemintasan dan tidak menjamin kerahsiaan permintaan.
Sumber: opennet.ru