Mozilla Company avtale med tredjepartsleverandører DNS over HTTPS (DoH, DNS over HTTPS) for Firefox. I tillegg til de tidligere tilbudte DNS-serverne CloudFlare ("https://1.1.1.1/dns-query") og (), vil Comcast-tjenesten også inkluderes i innstillingene (https://doh.xfinity.com/dns-query). Aktiver DoH og velg i nettverkstilkoblingsinnstillingene.
La oss huske at Firefox 77 inkluderte en DNS over HTTPS-test med hver klient som sendte 10 testforespørsler og automatisk valgte en DoH-leverandør. Denne sjekken måtte deaktiveres i utgivelsen , siden det ble til et slags DDoS-angrep på NextDNS-tjenesten, som ikke kunne takle belastningen.
DoH-leverandørene som tilbys i Firefox velges iht til pålitelige DNS-resolvere, ifølge hvilke DNS-operatøren kan bruke dataene som mottas til løsning kun for å sikre driften av tjenesten, ikke må lagre logger i mer enn 24 timer, ikke kan overføre data til tredjeparter og er forpliktet til å utlevere informasjon om databehandlingsmetoder. Tjenesten må også godta å ikke sensurere, filtrere, forstyrre eller blokkere DNS-trafikk, unntatt i situasjoner gitt ved lov.
Hendelser relatert til DNS-over-HTTPS kan også noteres Apple vil implementere støtte for DNS-over-HTTPS og DNS-over-TLS i fremtidige utgivelser av iOS 14 og macOS 11, samt støtte for WebExtension-utvidelser i Safari.
La oss huske at DoH kan være nyttig for å forhindre lekkasjer av informasjon om de forespurte vertsnavnene gjennom DNS-serverne til leverandører, bekjempe MITM-angrep og DNS-trafikk-spoofing (for eksempel når du kobler til offentlig Wi-Fi), motvirke blokkering på DNS. nivå (DoH kan ikke erstatte en VPN i området for å omgå blokkering implementert på DPI-nivå) eller for organisering av arbeid hvis det er umulig å få direkte tilgang til DNS-servere (for eksempel når du arbeider gjennom en proxy). Hvis DNS-forespørsler i en normal situasjon sendes direkte til DNS-servere som er definert i systemkonfigurasjonen, er forespørselen om å bestemme vertens IP-adresse, i tilfelle av DoH, innkapslet i HTTPS-trafikk og sendt til HTTP-serveren, hvor løseren behandler forespørsler via web-API. Den eksisterende DNSSEC-standarden bruker kryptering kun for å autentisere klienten og serveren, men beskytter ikke trafikk mot avlytting og garanterer ikke konfidensialiteten til forespørsler.
Kilde: opennet.ru