Os desenvolvedores do Firefox anunciaram a expansão do modo DNS sobre HTTPS (DoH), que será habilitado por padrão para usuários no Canadá (anteriormente, DoH era apenas o padrão para os EUA). A ativação do DoH para usuários canadenses é dividida em várias etapas: em 20 de julho, o DoH será ativado para 1% dos usuários canadenses e, salvo problemas inesperados, a cobertura será aumentada para 100% até o final de setembro.
A transição dos usuários canadenses do Firefox para o DoH é realizada com a participação da CIRA (Canadian Internet Registration Authority), que regula o desenvolvimento da Internet no Canadá e é responsável pelo domínio de topo “ca”. CIRA também se inscreveu no TRR (Trusted Recursive Resolver) e é um dos provedores de DNS sobre HTTPS disponíveis no Firefox.
Após a ativação do DoH, um aviso será exibido no sistema do usuário, permitindo, se desejar, recusar a transição para DoH e continuar utilizando o esquema tradicional de envio de solicitações não criptografadas ao servidor DNS do provedor. Você pode alterar o provedor ou desativar o DoH nas configurações de conexão de rede. Além dos servidores CIRA DoH, você pode escolher os serviços Cloudflare e NextDNS.
Os provedores DoH oferecidos no Firefox são selecionados de acordo com os requisitos para resolvedores DNS confiáveis, segundo os quais o operador DNS pode usar os dados recebidos para resolução apenas para garantir o funcionamento do serviço, não deve armazenar logs por mais de 24 horas, e não pode transferir dados a terceiros e é obrigado a divulgar informações sobre métodos de processamento de dados. O serviço também deve concordar em não censurar, filtrar, interferir ou bloquear o tráfego DNS, exceto nas situações previstas em lei.
Lembre-se de que o DoH pode ser útil para evitar vazamentos de informações sobre nomes de host solicitados por meio dos servidores DNS dos provedores, combater ataques MITM e falsificação de tráfego DNS (por exemplo, ao conectar-se a Wi-Fi público), combater o bloqueio no nível DNS (DoH não pode substituir a VPN na área de contornar o bloqueio implementado no nível DPI) ou para organizar o trabalho caso seja impossível acessar diretamente os servidores DNS (por exemplo, ao trabalhar por meio de um proxy). Enquanto normalmente as requisições DNS são enviadas diretamente aos servidores DNS definidos na configuração do sistema, no caso do DoH, a requisição para determinar o endereço IP do host é encapsulada no tráfego HTTPS e enviada ao servidor HTTP, no qual o resolvedor processa as requisições via a API Web. O padrão DNSSEC atual usa criptografia apenas para autenticar o cliente e o servidor, mas não protege o tráfego de interceptação e não garante a confidencialidade das solicitações.
Fonte: opennet.ru