Firefox-utviklere har annonsert utvidelsen av DNS over HTTPS (DoH)-modus, som vil være aktivert som standard for brukere i Canada (tidligere var DoH bare standard for USA). Aktivering av DoH for kanadiske brukere er delt inn i flere stadier: 20. juli vil DoH bli aktivert for 1 % av kanadiske brukere, og med unntak av uventede problemer, vil dekningen økes til 100 % innen utgangen av september.
Overgangen av kanadiske Firefox-brukere til DoH utføres med deltakelse av CIRA (Canadian Internet Registration Authority), som regulerer utviklingen av Internett i Canada og er ansvarlig for toppnivådomenet "ca". CIRA har også registrert seg for TRR (Trusted Recursive Resolver) og er en av DNS-over-HTTPS-leverandørene tilgjengelig i Firefox.
Etter aktivering av DoH vil en advarsel vises på brukerens system, som om ønskelig lar deg nekte overgangen til DoH og fortsette å bruke den tradisjonelle ordningen med å sende ukrypterte forespørsler til leverandørens DNS-server. Du kan endre leverandør eller deaktivere DoH i nettverkstilkoblingsinnstillingene. I tillegg til CIRA DoH-servere kan du velge Cloudflare og NextDNS-tjenester.
DoH-leverandører som tilbys i Firefox velges i samsvar med kravene til pålitelige DNS-resolvere, ifølge hvilke DNS-operatøren kan bruke dataene som mottas for oppløsning kun for å sikre driften av tjenesten, ikke må lagre logger lenger enn 24 timer, og kan ikke overføre data til tredjeparter og er pålagt å utlevere informasjon om databehandlingsmetoder. Tjenesten må også godta å ikke sensurere, filtrere, forstyrre eller blokkere DNS-trafikk, unntatt i situasjoner gitt ved lov.
La oss huske at DoH kan være nyttig for å forhindre lekkasjer av informasjon om de forespurte vertsnavnene gjennom DNS-serverne til leverandører, bekjempe MITM-angrep og DNS-trafikk-spoofing (for eksempel når du kobler til offentlig Wi-Fi), motvirke blokkering på DNS. nivå (DoH kan ikke erstatte en VPN i området for å omgå blokkering implementert på DPI-nivå) eller for organisering av arbeid hvis det er umulig å få direkte tilgang til DNS-servere (for eksempel når du arbeider gjennom en proxy). Hvis DNS-forespørsler i en normal situasjon sendes direkte til DNS-servere som er definert i systemkonfigurasjonen, er forespørselen om å bestemme vertens IP-adresse, i tilfelle av DoH, innkapslet i HTTPS-trafikk og sendt til HTTP-serveren, hvor løseren behandler forespørsler via web-API. Den eksisterende DNSSEC-standarden bruker kryptering kun for å autentisere klienten og serveren, men beskytter ikke trafikk mot avlytting og garanterer ikke konfidensialiteten til forespørsler.
Kilde: opennet.ru