Dezvoltatorii Firefox au anunțat extinderea modului DNS prin HTTPS (DoH), care va fi activat în mod implicit pentru utilizatorii din Canada (anterior, DoH era doar modul implicit pentru SUA). Activarea DoH pentru utilizatorii canadieni este împărțită în mai multe etape: Pe 20 iulie, DoH va fi activat pentru 1% dintre utilizatorii canadieni și, în afara unor probleme neașteptate, acoperirea va fi mărită la 100% până la sfârșitul lunii septembrie.
Tranziția utilizatorilor canadieni Firefox la DoH se realizează cu participarea CIRA (Canadian Internet Registration Authority), care reglementează dezvoltarea internetului în Canada și este responsabilă pentru domeniul de nivel superior „ca”. CIRA s-a înscris și la TRR (Trusted Recursive Resolver) și este unul dintre furnizorii DNS-over-HTTPS disponibili în Firefox.
După activarea DoH, va fi afișat un avertisment pe sistemul utilizatorului, permițând, dacă se dorește, să refuze tranziția la DoH și să continue utilizarea schemei tradiționale de trimitere a interogărilor necriptate către serverul DNS al furnizorului. Puteți schimba furnizorul sau puteți dezactiva DoH în setările de conexiune la rețea. Pe lângă serverele CIRA DoH, puteți alege serviciile Cloudflare și NextDNS.
Furnizorii DoH oferiți în Firefox sunt selectați în conformitate cu cerințele pentru soluții DNS de încredere, conform cărora operatorul DNS poate folosi datele primite pentru rezoluție doar pentru a asigura funcționarea serviciului, nu trebuie să stocheze jurnalele mai mult de 24 de ore și nu poate transferă date către terți și este obligat să dezvăluie informații despre metodele de prelucrare a datelor. De asemenea, serviciul trebuie să accepte să nu cenzureze, să filtreze, să interfereze sau să blocheze traficul DNS, cu excepția situațiilor prevăzute de lege.
Să reamintim că DoH poate fi util pentru prevenirea scurgerilor de informații despre numele gazdelor solicitate prin serverele DNS ale furnizorilor, combaterea atacurilor MITM și a falsării traficului DNS (de exemplu, la conectarea la Wi-Fi public), contracararea blocării la DNS nivel (DoH nu poate înlocui un VPN în zona ocolirii blocării implementate la nivel DPI) sau pentru organizarea muncii dacă este imposibil să accesați direct serverele DNS (de exemplu, atunci când lucrați printr-un proxy). Dacă într-o situație normală cererile DNS sunt trimise direct către serverele DNS definite în configurația sistemului, atunci în cazul DoH, cererea de determinare a adresei IP a gazdei este încapsulată în traficul HTTPS și trimisă către serverul HTTP, unde rezolutorul procesează solicitări prin intermediul API-ului web. Standardul DNSSEC existent folosește criptarea doar pentru a autentifica clientul și serverul, dar nu protejează traficul de interceptări și nu garantează confidențialitatea solicitărilor.
Sursa: opennet.ru