Mozilla-bedrijf overeenkomst met derde providers DNS over HTTPS (DoH, DNS over HTTPS) voor Firefox. Naast de eerder aangeboden DNS-servers CloudFlare (“https://1.1.1.1/dns-query”) en (), wordt de Comcast-service ook opgenomen in de instellingen (https://doh.xfinity.com/dns-query). Activeer DoH en selecteer in de netwerkverbindingsinstellingen.
Laten we niet vergeten dat Firefox 77 een DNS over HTTPS-test bevatte, waarbij elke client 10 testverzoeken verzond en automatisch een DoH-provider selecteerde. Deze controle moest bij release worden uitgeschakeld , aangezien het een soort DDoS-aanval werd op de dienst NextDNS, die de belasting niet aankon.
De DoH-providers die in Firefox worden aangeboden, zijn geselecteerd op basis van aan betrouwbare DNS-resolvers, volgens welke de DNS-operator de ontvangen gegevens alleen voor resolutie kan gebruiken om de werking van de dienst te garanderen, logs niet langer dan 24 uur mag bewaren, geen gegevens aan derden mag overdragen en verplicht is informatie over methoden voor gegevensverwerking. De dienst moet er ook mee instemmen het DNS-verkeer niet te censureren, filteren, verstoren of blokkeren, behalve in situaties waarin de wet voorziet.
Gebeurtenissen gerelateerd aan DNS-over-HTTPS kunnen ook worden genoteerd Apple zal ondersteuning voor DNS-over-HTTPS en DNS-over-TLS implementeren in toekomstige releases van iOS 14 en macOS 11, evenals ondersteuning voor WebExtension-extensies in Safari.
Laten we niet vergeten dat DoH nuttig kan zijn voor het voorkomen van het lekken van informatie over de opgevraagde hostnamen via de DNS-servers van providers, het tegengaan van MITM-aanvallen en spoofing van DNS-verkeer (bijvoorbeeld bij verbinding met openbare Wi-Fi), het tegengaan van blokkering bij de DNS niveau (DoH kan een VPN niet vervangen op het gebied van het omzeilen van blokkeringen geïmplementeerd op DPI-niveau) of voor het organiseren van werk als het onmogelijk is om rechtstreeks toegang te krijgen tot DNS-servers (bijvoorbeeld bij het werken via een proxy). Als in een normale situatie DNS-verzoeken rechtstreeks naar de DNS-servers worden verzonden die in de systeemconfiguratie zijn gedefinieerd, wordt in het geval van DoH het verzoek om het IP-adres van de host te bepalen ingekapseld in HTTPS-verkeer en naar de HTTP-server gestuurd, waar de oplosser de processen verwerkt. aanvragen via de Web API. De bestaande DNSSEC-standaard gebruikt alleen encryptie om de client en server te authenticeren, maar beschermt het verkeer niet tegen onderschepping en garandeert niet de vertrouwelijkheid van verzoeken.
Bron: opennet.ru