Мозилла Цомпани уговор са трећим добављачима ДНС преко ХТТПС-а (ДоХ, ДНС преко ХТТПС-а) за Фирефок. Поред раније понуђених ДНС сервера ЦлоудФларе (“хттпс://1.1.1.1/днс-куери”) и (), Цомцаст услуга ће такође бити укључена у подешавања (хттпс://дох.кфинити.цом/днс-куери). Активирајте ДоХ и изаберите у подешавањима мрежне везе.
Подсетимо се да је Фирефок 77 укључивао ДНС преко ХТТПС теста са сваким клијентом који је слао 10 тестних захтева и аутоматски бирао ДоХ провајдера. Ова провера је морала бити онемогућена у издању , пошто се претворио у својеврсни ДДоС напад на НектДНС сервис, који није могао да се носи са оптерећењем.
ДоХ провајдери који се нуде у Фирефок-у бирају се према поузданим ДНС разређивачима, према којима ДНС оператер може користити податке примљене за решавање само да би обезбедио рад сервиса, не сме да чува евиденције дуже од 24 сата, не може преносити податке трећим лицима и дужан је да открије информације о методе обраде података. Услуга такође мора пристати да неће цензурисати, филтрирати, ометати или блокирати ДНС саобраћај, осим у ситуацијама предвиђеним законом.
Догађаји који се односе на ДНС-овер-ХТТПС такође се могу приметити Аппле ће имплементирати подршку за ДНС-овер-ХТТПС и ДНС-овер-ТЛС у будућим издањима иОС 14 и мацОС 11, као и подршка за екстензије ВебЕктенсион у Сафарију.
Подсетимо се да ДоХ може бити користан за спречавање цурења информација о траженим именима хостова преко ДНС сервера провајдера, сузбијање МИТМ напада и лажирања ДНС саобраћаја (на пример, при повезивању на јавни Ви-Фи), спречавање блокирања на ДНС-у нивоу (ДоХ не може да замени ВПН у области заобилажења блокирања имплементираног на ДПИ нивоу) или за организовање посла ако је немогуће директно приступити ДНС серверима (на пример, када се ради преко проксија). Ако се у нормалној ситуацији ДНС захтеви директно шаљу на ДНС сервере дефинисане у конфигурацији система, онда се у случају ДоХ-а захтев за одређивање ИП адресе хоста инкапсулира у ХТТПС саобраћај и шаље на ХТТП сервер, где разрешивач обрађује захтева преко веб АПИ-ја. Постојећи ДНССЕЦ стандард користи шифровање само за аутентификацију клијента и сервера, али не штити саобраћај од пресретања и не гарантује поверљивост захтева.
Извор: опеннет.ру