Firefox-utvecklare har tillkännagett utbyggnaden av DNS över HTTPS (DoH)-läget, vilket kommer att vara aktiverat som standard för användare i Kanada (tidigare var DoH bara standard för USA). Att aktivera DoH för kanadensiska användare är uppdelat i flera steg: Den 20 juli kommer DoH att aktiveras för 1 % av de kanadensiska användarna och, förutom oväntade problem, kommer täckningen att utökas till 100 % i slutet av september.
Övergången av kanadensiska Firefox-användare till DoH genomförs med deltagande av CIRA (Canadian Internet Registration Authority), som reglerar utvecklingen av Internet i Kanada och ansvarar för toppdomänen "ca". CIRA har också registrerat sig för TRR (Trusted Recursive Resolver) och är en av DNS-over-HTTPS-leverantörerna som finns tillgängliga i Firefox.
Efter aktivering av DoH kommer en varning att visas på användarens system, vilket gör att om så önskas kan vägra övergången till DoH och fortsätta använda det traditionella schemat att skicka okrypterade förfrågningar till leverantörens DNS-server. Du kan byta leverantör eller inaktivera DoH i nätverksanslutningsinställningarna. Förutom CIRA DoH-servrar kan du välja Cloudflare och NextDNS-tjänster.
DoH-leverantörer som erbjuds i Firefox väljs ut i enlighet med kraven för pålitliga DNS-resolvers, enligt vilka DNS-operatören kan använda mottagna data för upplösning endast för att säkerställa driften av tjänsten, får inte lagra loggar längre än 24 timmar och inte kan överföra data till tredje part och är skyldig att lämna ut information om databehandlingsmetoder. Tjänsten måste också gå med på att inte censurera, filtrera, störa eller blockera DNS-trafik, förutom i situationer som föreskrivs i lag.
Kom ihåg att DoH kan vara användbart för att förhindra läckor av information om begärda värdnamn genom leverantörers DNS-servrar, bekämpa MITM-attacker och DNS-trafikspoofing (till exempel vid anslutning till offentligt Wi-Fi), motverka blockering på DNS-nivå (DoH) kan inte ersätta VPN när det gäller att kringgå blockering implementerad på DPI-nivå) eller för att organisera arbete i fall det är omöjligt att få direkt åtkomst till DNS-servrar (till exempel när du arbetar via en proxy). Medan DNS-förfrågningar normalt skickas direkt till DNS-servrarna som definieras i systemkonfigurationen, i fallet med DoH, är begäran om att fastställa värd-IP-adressen inkapslad i HTTPS-trafik och skickas till HTTP-servern, på vilken resolvern behandlar förfrågningar via webb-API. Den nuvarande DNSSEC-standarden använder kryptering endast för att autentisera klienten och servern, men skyddar inte trafik från avlyssning och garanterar inte konfidentialitet för förfrågningar.
Källa: opennet.ru