Vývojári Firefoxu oznámili rozšírenie režimu DNS cez HTTPS (DoH), ktorý bude štandardne povolený pre používateľov v Kanade (predtým bol režim DoH predvolený iba pre USA). Povolenie DoH pre kanadských používateľov je rozdelené do niekoľkých etáp: 20. júla bude DoH aktivované pre 1 % kanadských používateľov a ak nedôjde k neočakávaným problémom, pokrytie sa do konca septembra zvýši na 100 %.
Prechod kanadských používateľov Firefoxu na DoH sa uskutočňuje za účasti CIRA (Canadian Internet Registration Authority), ktorá reguluje rozvoj internetu v Kanade a je zodpovedná za doménu najvyššej úrovne „ca“. CIRA sa tiež prihlásila do TRR (Trusted Recursive Resolver) a je jedným z poskytovateľov DNS-over-HTTPS dostupných vo Firefoxe.
Po aktivácii DoH sa v systéme používateľa zobrazí varovanie, ktoré umožňuje v prípade potreby odmietnuť prechod na DoH a pokračovať v používaní tradičnej schémy odosielania nešifrovaných požiadaviek na server DNS poskytovateľa. V nastaveniach sieťového pripojenia môžete zmeniť poskytovateľa alebo vypnúť DoH. Okrem serverov CIRA DoH si môžete vybrať služby Cloudflare a NextDNS.
Poskytovatelia DoH ponúkaní vo Firefoxe sú vyberaní v súlade s požiadavkami na dôveryhodné DNS resolvery, podľa ktorých môže operátor DNS získané údaje použiť na rozlíšenie len na zabezpečenie prevádzky služby, nesmie uchovávať protokoly dlhšie ako 24 hodín a nemôže prenášať údaje tretím stranám a je povinný zverejniť informácie o spôsoboch spracovania údajov. Služba musí tiež súhlasiť s tým, že nebude cenzurovať, filtrovať, rušiť alebo blokovať prenos DNS, s výnimkou situácií stanovených zákonom.
Pripomeňme si, že DoH môže byť užitočné na zabránenie úniku informácií o požadovaných názvoch hostiteľov cez servery DNS poskytovateľov, na boj proti útokom MITM a spoofingu DNS prevádzky (napríklad pri pripájaní k verejnej sieti Wi-Fi), proti blokovaniu na DNS. úroveň (DoH nemôže nahradiť VPN v oblasti obchádzania blokovania implementovaného na úrovni DPI) alebo na organizovanie práce, ak nie je možné priamo pristupovať k serverom DNS (napríklad pri práci cez proxy). Ak sa v normálnej situácii požiadavky DNS odosielajú priamo na servery DNS definované v konfigurácii systému, potom v prípade DoH je požiadavka na určenie adresy IP hostiteľa zapuzdrená v prenose HTTPS a odoslaná na server HTTP, kde prekladač spracuje žiadosti cez webové rozhranie API. Existujúci štandard DNSSEC používa šifrovanie iba na autentifikáciu klienta a servera, ale nechráni prevádzku pred zachytením a nezaručuje dôvernosť požiadaviek.
Zdroj: opennet.ru