Mozilla Company acordo com terceiros provedores DNS sobre HTTPS (DoH, DNS sobre HTTPS) para Firefox. Além dos servidores DNS oferecidos anteriormente CloudFlare (“https://1.1.1.1/dns-query”) e (), o serviço Comcast também será incluído nas configurações (https://doh.xfinity.com/dns-query). Ative DoH e selecione nas configurações de conexão de rede.
Lembremos que o Firefox 77 incluiu um teste de DNS sobre HTTPS com cada cliente enviando 10 solicitações de teste e selecionando automaticamente um provedor de DoH. Esta verificação teve que ser desativada no lançamento , pois se transformou em uma espécie de ataque DDoS ao serviço NextDNS, que não aguentou a carga.
Os provedores de DoH oferecidos no Firefox são selecionados de acordo com a resolvedores DNS confiáveis, segundo os quais o operador DNS pode utilizar os dados recebidos para resolução apenas para garantir o funcionamento do serviço, não deve armazenar logs por mais de 24 horas, não pode transferir dados a terceiros e é obrigado a divulgar informações sobre métodos de processamento de dados. O serviço também deve concordar em não censurar, filtrar, interferir ou bloquear o tráfego DNS, exceto nas situações previstas em lei.
Eventos relacionados ao DNS sobre HTTPS também podem ser observados A Apple implementará suporte para DNS sobre HTTPS e DNS sobre TLS em versões futuras do iOS 14 e macOS 11, bem como suporte para extensões WebExtension no Safari.
Lembre-se de que o DoH pode ser útil para evitar vazamentos de informações sobre nomes de host solicitados por meio dos servidores DNS dos provedores, combater ataques MITM e falsificação de tráfego DNS (por exemplo, ao conectar-se a Wi-Fi público), combater o bloqueio no nível DNS (DoH não pode substituir a VPN na área de contornar o bloqueio implementado no nível DPI) ou para organizar o trabalho caso seja impossível acessar diretamente os servidores DNS (por exemplo, ao trabalhar por meio de um proxy). Enquanto normalmente as requisições DNS são enviadas diretamente aos servidores DNS definidos na configuração do sistema, no caso do DoH, a requisição para determinar o endereço IP do host é encapsulada no tráfego HTTPS e enviada ao servidor HTTP, no qual o resolvedor processa as requisições via a API Web. O padrão DNSSEC atual usa criptografia apenas para autenticar o cliente e o servidor, mas não protege o tráfego de interceptação e não garante a confidencialidade das solicitações.
Fonte: opennet.ru