Compania Mozilla acord cu terți furnizori DNS over HTTPS (DoH, DNS over HTTPS) pentru Firefox. În plus față de serverele DNS oferite anterior, CloudFlare („https://1.1.1.1/dns-query”) și (), serviciul Comcast va fi și el inclus în setări (https://doh.xfinity.com/dns-query). Activați DoH și selectați în setările de conexiune la rețea.
Să ne amintim că Firefox 77 a inclus un test DNS peste HTTPS, fiecare client trimițând 10 solicitări de testare și selectând automat un furnizor DoH. Această verificare a trebuit să fie dezactivată în lansare , deoarece s-a transformat într-un fel de atac DDoS asupra serviciului NextDNS, care nu a putut face față încărcării.
Furnizorii DoH oferiți în Firefox sunt selectați în funcție de către soluții DNS de încredere, conform cărora operatorul DNS poate folosi datele primite pentru rezoluție doar pentru a asigura funcționarea serviciului, nu trebuie să stocheze jurnalele mai mult de 24 de ore, nu poate transfera date către terți și este obligat să dezvăluie informații despre metode de prelucrare a datelor. De asemenea, serviciul trebuie să accepte să nu cenzureze, să filtreze, să interfereze sau să blocheze traficul DNS, cu excepția situațiilor prevăzute de lege.
Evenimentele legate de DNS-over-HTTPS pot fi, de asemenea, notate Apple va implementa suport pentru DNS-over-HTTPS și DNS-over-TLS în versiunile viitoare ale iOS 14 și macOS 11, precum și suport pentru extensiile WebExtension în Safari.
Să reamintim că DoH poate fi util pentru prevenirea scurgerilor de informații despre numele gazdelor solicitate prin serverele DNS ale furnizorilor, combaterea atacurilor MITM și a falsării traficului DNS (de exemplu, la conectarea la Wi-Fi public), contracararea blocării la DNS nivel (DoH nu poate înlocui un VPN în zona ocolirii blocării implementate la nivel DPI) sau pentru organizarea muncii dacă este imposibil să accesați direct serverele DNS (de exemplu, atunci când lucrați printr-un proxy). Dacă într-o situație normală cererile DNS sunt trimise direct către serverele DNS definite în configurația sistemului, atunci în cazul DoH, cererea de determinare a adresei IP a gazdei este încapsulată în traficul HTTPS și trimisă către serverul HTTP, unde rezolutorul procesează solicitări prin intermediul API-ului web. Standardul DNSSEC existent folosește criptarea doar pentru a autentifica clientul și serverul, dar nu protejează traficul de interceptări și nu garantează confidențialitatea solicitărilor.
Sursa: opennet.ru