Mozilla Company avtal med tredje leverantörer DNS över HTTPS (DoH, DNS över HTTPS) för Firefox. Förutom de tidigare erbjudna CloudFlare DNS-servrarna ("https://1.1.1.1/dns-query") och (), kommer Comcast-tjänsten (https://doh.xfinity.com/dns-query) också att inkluderas i inställningarna. Aktivera DoH och välj i nätverksanslutningsinställningarna.
Kom ihåg att i Firefox 77 aktiverades ett DNS över HTTPS-test med 10 testförfrågningar skickade av varje klient och automatiskt val av en DoH-leverantör. Den här kontrollen måste inaktiveras i versionen , eftersom det förvandlades till ett slags DDoS-attack på NextDNS-tjänsten, som inte kunde klara av belastningen.
De DoH-leverantörer som erbjuds i Firefox väljs enligt till pålitliga DNS-resolvers, enligt vilka DNS-operatören kan använda mottagna data för att lösa endast för att säkerställa driften av tjänsten, inte får lagra loggar i mer än 24 timmar, inte kan överföra data till tredje part och är skyldig att lämna ut information om databehandlingsmetoder. Tjänsten måste också förbinda sig att inte censurera, filtrera, störa eller blockera DNS-trafik, förutom vad som krävs enligt lag.
Av händelserna relaterade till DNS-over-HTTPS kan man också notera Apple kommer att implementera stöd för DNS-over-HTTPS och DNS-over-TLS i framtida versioner av iOS 14 och macOS 11, och stöd för WebExtension-tillägg i Safari.
Kom ihåg att DoH kan vara användbart för att förhindra läckor av information om begärda värdnamn genom leverantörers DNS-servrar, bekämpa MITM-attacker och DNS-trafikspoofing (till exempel vid anslutning till offentligt Wi-Fi), motverka blockering på DNS-nivå (DoH) kan inte ersätta VPN när det gäller att kringgå blockering implementerad på DPI-nivå) eller för att organisera arbete i fall det är omöjligt att få direkt åtkomst till DNS-servrar (till exempel när du arbetar via en proxy). Medan DNS-förfrågningar normalt skickas direkt till DNS-servrarna som definieras i systemkonfigurationen, i fallet med DoH, är begäran om att fastställa värd-IP-adressen inkapslad i HTTPS-trafik och skickas till HTTP-servern, på vilken resolvern behandlar förfrågningar via webb-API. Den nuvarande DNSSEC-standarden använder kryptering endast för att autentisera klienten och servern, men skyddar inte trafik från avlyssning och garanterar inte konfidentialitet för förfrågningar.
Källa: opennet.ru