Firma Mozilla umowa z zewnętrznymi dostawcami DNS przez HTTPS (DoH, DNS przez HTTPS) dla Firefoksa. Oprócz wcześniej oferowanych serwerów DNS CloudFlare („https://1.1.1.1/dns-query”) i (), usługa Comcast (https://doh.xfinity.com/dns-query) również zostanie uwzględniona w ustawieniach. Aktywuj DoH i wybierz w ustawieniach połączenia sieciowego.
Przypomnijmy, że w Firefoksie 77 włączono test DNS przez HTTPS z 10 żądaniami testowymi wysłanymi przez każdego klienta i automatycznym wyborem dostawcy DoH. Ta kontrola musiała zostać wyłączona w wydaniu , gdyż przerodziło się to w swego rodzaju atak DDoS na usługę NextDNS, która nie radziła sobie z obciążeniem.
Dostawcy DoH oferowani w Firefoksie są wybierani według zaufanym resolwerom DNS, zgodnie z którymi operator DNS może wykorzystywać otrzymane dane do rozwiązania wyłącznie w celu zapewnienia działania usługi, nie może przechowywać logów dłużej niż 24 godziny, nie może przekazywać danych osobom trzecim oraz jest zobowiązany do ujawniania informacji o sposobach przetwarzania danych. Usługa musi również zobowiązać się, że nie będzie cenzurować, filtrować, zakłócać ani blokować ruchu DNS, z wyjątkiem przypadków wymaganych przez prawo.
Można również zauważyć zdarzenia związane z DNS-over-HTTPS Apple zaimplementuje obsługę DNS-over-HTTPS i DNS-over-TLS w przyszłych wersjach iOS 14 i macOS 11 oraz obsługa rozszerzeń WebExtension w przeglądarce Safari.
Przypomnijmy, że DoH może być przydatny do zapobiegania wyciekom informacji o żądanych nazwach hostów przez serwery DNS dostawców, zwalczania ataków MITM i fałszowania ruchu DNS (na przykład podczas łączenia się z publicznym Wi-Fi), przeciwdziałania blokowaniu na poziomie DNS (DoH nie może zastąpić VPN w zakresie omijania blokad realizowanych na poziomie DPI) lub do organizacji pracy w przypadku braku możliwości bezpośredniego dostępu do serwerów DNS (np. podczas pracy przez proxy). O ile normalnie żądania DNS są wysyłane bezpośrednio do serwerów DNS zdefiniowanych w konfiguracji systemu, o tyle w przypadku DoH żądanie ustalenia adresu IP hosta jest enkapsulowane w ruchu HTTPS i wysyłane do serwera HTTP, na którym resolver przetwarza żądania poprzez interfejs API sieci Web. Obecny standard DNSSEC wykorzystuje szyfrowanie tylko do uwierzytelnienia klienta i serwera, ale nie chroni ruchu przed przechwyceniem i nie gwarantuje poufności żądań.
Źródło: opennet.ru