Podjetje Mozilla sporazum s tretjimi ponudniki DNS prek HTTPS (DoH, DNS prek HTTPS) za Firefox. Poleg prej ponujenih DNS strežnikov CloudFlare (»https://1.1.1.1/dns-query«) in (), bo v nastavitvah vključena tudi storitev Comcast (https://doh.xfinity.com/dns-query). Aktivirajte DoH in izberite v nastavitvah omrežne povezave.
Spomnimo se, da je Firefox 77 vključeval preizkus DNS prek HTTPS, pri čemer je vsaka stranka poslala 10 testnih zahtev in samodejno izbrala ponudnika DoH. To preverjanje je bilo treba v izdaji onemogočiti , saj se je spremenil v nekakšen napad DDoS na storitev NextDNS, ki ni bila kos obremenitvi.
Ponudniki DoH, ki jih ponuja Firefox, so izbrani glede na zaupanja vrednim razreševalcem DNS, po katerem lahko operater DNS prejete podatke uporabi za razrešitev le za zagotavljanje delovanja storitve, ne sme hraniti dnevnikov več kot 24 ur, ne more prenašati podatkov tretjim osebam in je dolžan razkriti informacije o metode obdelave podatkov. Storitev se mora tudi strinjati, da ne bo cenzurirala, filtrirala, motila ali blokirala prometa DNS, razen v primerih, ki jih določa zakon.
Opaziti je mogoče tudi dogodke, povezane z DNS-over-HTTPS Apple bo implementiral podporo za DNS-over-HTTPS in DNS-over-TLS v prihodnjih izdajah iOS 14 in macOS 11 ter tudi podpora za razširitve WebExtension v Safariju.
Spomnimo se, da je DoH lahko koristen za preprečevanje uhajanja informacij o zahtevanih imenih gostiteljev prek strežnikov DNS ponudnikov, boj proti napadom MITM in ponarejanje prometa DNS (na primer pri povezovanju z javnim Wi-Fi), preprečevanje blokiranja na DNS ravni (DoH ne more nadomestiti VPN na področju obhoda blokiranja, ki se izvaja na ravni DPI) ali za organizacijo dela, če ni mogoče neposredno dostopati do strežnikov DNS (na primer pri delu prek proxyja). Če so v običajni situaciji zahteve DNS neposredno poslane strežnikom DNS, definiranim v sistemski konfiguraciji, potem je v primeru DoH zahteva za določitev naslova IP gostitelja enkapsulirana v promet HTTPS in poslana strežniku HTTP, kjer razreševalec obdela zahteve prek spletnega API-ja. Obstoječi standard DNSSEC uporablja šifriranje samo za avtentikacijo odjemalca in strežnika, vendar ne ščiti prometa pred prestrezanjem in ne zagotavlja zaupnosti zahtev.
Vir: opennet.ru