Razvijalci Firefoxa so napovedali razširitev načina DNS prek HTTPS (DoH), ki bo privzeto omogočen za uporabnike v Kanadi (prej je bil DoH privzet le za ZDA). Omogočanje DoH za kanadske uporabnike je razdeljeno na več stopenj: 20. julija bo DoH aktiviran za 1 % kanadskih uporabnikov in, razen nepričakovanih težav, bo pokritost povečana na 100 % do konca septembra.
Prehod kanadskih uporabnikov Firefoxa na DoH poteka ob sodelovanju CIRA (Canadian Internet Registration Authority), ki ureja razvoj interneta v Kanadi in je odgovoren za domeno najvišje ravni »ca«. CIRA se je prijavila tudi za TRR (Trusted Recursive Resolver) in je eden od ponudnikov DNS-over-HTTPS, ki so na voljo v Firefoxu.
Po aktiviranju DoH se v sistemu uporabnika prikaže opozorilo, ki omogoča, da po želji zavrne prehod na DoH in nadaljuje z uporabo tradicionalne sheme pošiljanja nešifriranih zahtev na strežnik DNS ponudnika. V nastavitvah omrežne povezave lahko spremenite ponudnika ali onemogočite DoH. Poleg strežnikov CIRA DoH lahko izberete storitve Cloudflare in NextDNS.
Ponudniki DoH, ki so na voljo v Firefoxu, so izbrani v skladu z zahtevami za zaupanja vredne razreševalce DNS, po katerih lahko operater DNS prejete podatke uporabi za razrešitev samo za zagotavljanje delovanja storitve, ne sme shranjevati dnevnikov dlje kot 24 ur in ne sme posreduje podatke tretjim osebam in je dolžan razkriti informacije o načinih obdelave podatkov. Storitev se mora tudi strinjati, da ne bo cenzurirala, filtrirala, motila ali blokirala prometa DNS, razen v primerih, ki jih določa zakon.
Spomnimo se, da je DoH lahko koristen za preprečevanje uhajanja informacij o zahtevanih imenih gostiteljev prek strežnikov DNS ponudnikov, boj proti napadom MITM in ponarejanje prometa DNS (na primer pri povezovanju z javnim Wi-Fi), preprečevanje blokiranja na DNS ravni (DoH ne more nadomestiti VPN na področju obhoda blokiranja, ki se izvaja na ravni DPI) ali za organizacijo dela, če ni mogoče neposredno dostopati do strežnikov DNS (na primer pri delu prek proxyja). Če so v običajni situaciji zahteve DNS neposredno poslane strežnikom DNS, definiranim v sistemski konfiguraciji, potem je v primeru DoH zahteva za določitev naslova IP gostitelja enkapsulirana v promet HTTPS in poslana strežniku HTTP, kjer razreševalec obdela zahteve prek spletnega API-ja. Obstoječi standard DNSSEC uporablja šifriranje samo za avtentikacijo odjemalca in strežnika, vendar ne ščiti prometa pred prestrezanjem in ne zagotavlja zaupnosti zahtev.
Vir: opennet.ru