Разработчики Firefox объявили о расширении применения режима DNS поверх HTTPS (DoH, DNS over HTTPS), который будет включён по умолчанию для пользователей из Канады (ранее DoH по умолчанию применялся только для США). Включение DoH для пользователей из Канады разделено на несколько этапов: 20 июля DoH будет активирован для 1% пользователей из Канады и если не возникнет непредвиденных проблем охват будет доведён до 100% к концу сентября.
Перевод канадских пользователей Firefox на DoH проводится при участии организации CIRA (Canadian Internet Registration Authority), регулирующей развитие интернета в Канаде и отвечающей за домен верхнего уровня «ca». Организация CIRA также подключилась к программе TRR (Trusted Recursive Resolver) и включена в число провайдеров DNS-over-HTTPS, доступных в Firefox.
После активации DoH на системе пользователя будет выведено предупреждение, позволяющее при желании отказаться от перехода на DoH и продолжить использование традиционной схемы отправки незашифрованных запросов к DNS-серверу провайдера. Изменить провайдера или отключить DoH можно в настройках сетевого соединения. Помимо DoH-серверов CIRA можно выбрать сервисы Cloudflare и NextDNS.
Предлагаемые в Firefox провайдеры DoH отбираются в соответствии с требованиями к заслуживающим доверие DNS-резолверам, в соответствии с которыми DNS-оператор может использовать получаемые для резолвинга данные только для обеспечения работы сервиса, не должен хранить логи дольше 24 часов, не может передавать данные третьим лицам и обязан раскрывать сведения о методах обработки данных. Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством.
Laten we niet vergeten dat DoH nuttig kan zijn voor het voorkomen van het lekken van informatie over de opgevraagde hostnamen via de DNS-servers van providers, het tegengaan van MITM-aanvallen en spoofing van DNS-verkeer (bijvoorbeeld bij verbinding met openbare Wi-Fi), het tegengaan van blokkering bij de DNS niveau (DoH kan een VPN niet vervangen op het gebied van het omzeilen van blokkeringen geïmplementeerd op DPI-niveau) of voor het organiseren van werk als het onmogelijk is om rechtstreeks toegang te krijgen tot DNS-servers (bijvoorbeeld bij het werken via een proxy). Als in een normale situatie DNS-verzoeken rechtstreeks naar de DNS-servers worden verzonden die in de systeemconfiguratie zijn gedefinieerd, wordt in het geval van DoH het verzoek om het IP-adres van de host te bepalen ingekapseld in HTTPS-verkeer en naar de HTTP-server gestuurd, waar de oplosser de processen verwerkt. aanvragen via de Web API. De bestaande DNSSEC-standaard gebruikt alleen encryptie om de client en server te authenticeren, maar beschermt het verkeer niet tegen onderschepping en garandeert niet de vertrouwelijkheid van verzoeken.
Bron: opennet.ru