Spoločnosť Mozilla соглашение с третьим провайдеров DNS поверх HTTPS (DoH, DNS over HTTPS) для Firefox. Помимо ранее предлагавшихся DNS-серверов CloudFlare («https://1.1.1.1/dns-query») и (), в настройки также будет включён сервис Comcast (https://doh.xfinity.com/dns-query). Активировать DoH и выбрать v nastaveniach sieťového pripojenia.
Напомним, что в Firefox 77 была включена тестовая проверка DNS over HTTPS с отправкой 10 пробных запросов каждым клиентом и автоматическим выбором провайдера DoH. Данную проверку пришлось отключить в выпуске , так как она превратилось в подобие DDoS-атаки на сервис NextDNS, который не справился с нагрузкой.
Предлагаемые в Firefox провайдеры DoH отбираются в соответствии с dôveryhodným DNS resolverom, podľa ktorého môže prevádzkovateľ DNS získané údaje použiť na rozlíšenie len na zabezpečenie prevádzky služby, nesmie uchovávať protokoly dlhšie ako 24 hodín, nemôže prenášať údaje tretím stranám a je povinný zverejniť informácie o metódy spracovania údajov. Služba musí tiež súhlasiť s tým, že nebude cenzurovať, filtrovať, rušiť alebo blokovať prenos DNS, s výnimkou situácií stanovených zákonom.
Из связанных с DNS-over-HTTPS событий также можно отметить компании Apple реализовать поддержку DNS-over-HTTPS и DNS-over-TLS в будущих выпусках iOS 14 и macOS 11, а также поддержку дополнений в формате WebExtension в Safari.
Pripomeňme si, že DoH môže byť užitočné na zabránenie úniku informácií o požadovaných názvoch hostiteľov cez servery DNS poskytovateľov, na boj proti útokom MITM a spoofingu DNS prevádzky (napríklad pri pripájaní k verejnej sieti Wi-Fi), proti blokovaniu na DNS. úroveň (DoH nemôže nahradiť VPN v oblasti obchádzania blokovania implementovaného na úrovni DPI) alebo na organizovanie práce, ak nie je možné priamo pristupovať k serverom DNS (napríklad pri práci cez proxy). Ak sa v normálnej situácii požiadavky DNS odosielajú priamo na servery DNS definované v konfigurácii systému, potom v prípade DoH je požiadavka na určenie adresy IP hostiteľa zapuzdrená v prenose HTTPS a odoslaná na server HTTP, kde prekladač spracuje žiadosti cez webové rozhranie API. Existujúci štandard DNSSEC používa šifrovanie iba na autentifikáciu klienta a servera, ale nechráni prevádzku pred zachytením a nezaručuje dôvernosť požiadaviek.
Zdroj: opennet.ru