Twórcy Firefoksa ogłosili rozszerzenie trybu DNS over HTTPS (DoH), który będzie domyślnie włączony dla użytkowników w Kanadzie (poprzednio DoH był domyślny tylko w USA). Udostępnienie DoH użytkownikom w Kanadzie podzielone jest na kilka etapów: 20 lipca DoH zostanie aktywowany dla 1% kanadyjskich użytkowników i, o ile nie wystąpią nieoczekiwane problemy, do końca września zasięg zostanie zwiększony do 100%.
Przejście kanadyjskich użytkowników Firefoksa na DoH odbywa się przy udziale CIRA (Kanadyjskiego Urzędu Rejestracji Internetu), który reguluje rozwój Internetu w Kanadzie i odpowiada za domenę najwyższego poziomu „ca”. CIRA zarejestrowała się również w TRR (Trusted Recursive Resolver) i jest jednym z dostawców DNS-over-HTTPS dostępnych w przeglądarce Firefox.
Po aktywacji DoH w systemie użytkownika wyświetli się ostrzeżenie, które w razie potrzeby pozwoli odmówić przejścia na DoH i kontynuować korzystanie z tradycyjnego schematu wysyłania niezaszyfrowanych żądań do serwera DNS dostawcy. Możesz zmienić dostawcę lub wyłączyć DoH w ustawieniach połączenia sieciowego. Oprócz serwerów CIRA DoH możesz wybrać usługi Cloudflare i NextDNS.
Dostawcy DoH oferowani w Firefoksie wybierani są zgodnie z wymaganiami godnych zaufania usług rozpoznawania nazw DNS, zgodnie z którymi operator DNS może wykorzystywać otrzymane dane do rozdzielczości wyłącznie w celu zapewnienia działania usługi, nie może przechowywać logów dłużej niż 24 godziny i nie może przekazywania danych podmiotom trzecim i ma obowiązek ujawnienia informacji o sposobach przetwarzania danych. Serwis musi także wyrazić zgodę na niecenzurowanie, filtrowanie, zakłócanie lub blokowanie ruchu DNS, za wyjątkiem sytuacji przewidzianych przez prawo.
Przypomnijmy, że DoH może być przydatny do zapobiegania wyciekom informacji o żądanych nazwach hostów przez serwery DNS dostawców, zwalczania ataków MITM i fałszowania ruchu DNS (na przykład podczas łączenia się z publicznym Wi-Fi), przeciwdziałania blokowaniu na poziomie DNS (DoH nie może zastąpić VPN w zakresie omijania blokad realizowanych na poziomie DPI) lub do organizacji pracy w przypadku braku możliwości bezpośredniego dostępu do serwerów DNS (np. podczas pracy przez proxy). O ile normalnie żądania DNS są wysyłane bezpośrednio do serwerów DNS zdefiniowanych w konfiguracji systemu, o tyle w przypadku DoH żądanie ustalenia adresu IP hosta jest enkapsulowane w ruchu HTTPS i wysyłane do serwera HTTP, na którym resolver przetwarza żądania poprzez interfejs API sieci Web. Obecny standard DNSSEC wykorzystuje szyfrowanie tylko do uwierzytelnienia klienta i serwera, ale nie chroni ruchu przed przechwyceniem i nie gwarantuje poufności żądań.
Źródło: opennet.ru