Kampuni ya Mozilla makubaliano na watoa huduma wa tatu wa DNS juu ya HTTPS (DoH, DNS juu ya HTTPS) ya Firefox. Kwa kuongezea seva za DNS zilizotolewa hapo awali CloudFlare ("https://1.1.1.1/dns-query") na (), huduma ya Comcast pia itajumuishwa katika mipangilio (https://doh.xfinity.com/dns-query). Washa DoH na uchague katika mipangilio ya unganisho la mtandao.
Tukumbuke kwamba Firefox 77 ilijumuisha DNS juu ya jaribio la HTTPS huku kila mteja akituma maombi 10 ya majaribio na kuchagua mtoa huduma wa DoH kiotomatiki. Cheki hii ilibidi kuzimwa katika toleo , kwa kuwa iligeuka kuwa aina ya mashambulizi ya DDoS kwenye huduma ya NextDNS, ambayo haikuweza kukabiliana na mzigo.
Watoa huduma wa DoH wanaotolewa katika Firefox huchaguliwa kulingana na kwa visuluhishi vya kuaminika vya DNS, kulingana na ambayo opereta wa DNS anaweza kutumia data iliyopokelewa kwa kusuluhisha tu ili kuhakikisha utendakazi wa huduma, haipaswi kuhifadhi kumbukumbu kwa zaidi ya masaa 24, haiwezi kuhamisha data kwa watu wengine, na inahitajika kufichua habari. kuhusu mbinu za usindikaji wa data. Huduma lazima pia ijitolee kutokagua, kuchuja, kuingilia au kuzuia trafiki ya DNS, isipokuwa inavyotakiwa na sheria.
Matukio yanayohusiana na DNS-over-HTTPS yanaweza pia kuzingatiwa Apple itatumia usaidizi wa DNS-over-HTTPS na DNS-over-TLS katika matoleo yajayo ya iOS 14 na macOS 11, na vile vile msaada kwa viendelezi vya WebExtension katika Safari.
Kumbuka kwamba DoH inaweza kuwa na manufaa kwa kuzuia uvujaji wa taarifa kuhusu majina ya waandaji yaliyoombwa kupitia seva za DNS za watoa huduma, kupambana na mashambulizi ya MITM na uharibifu wa trafiki wa DNS (kwa mfano, wakati wa kuunganisha kwenye Wi-Fi ya umma), kuzuia kuzuia katika kiwango cha DNS (DoH). haiwezi kuchukua nafasi ya VPN katika eneo la kuzuia kuzuia kutekelezwa kwa kiwango cha DPI) au kwa kuandaa kazi ikiwa haiwezekani kupata seva za DNS moja kwa moja (kwa mfano, wakati wa kufanya kazi kupitia proksi). Ingawa kwa kawaida maombi ya DNS hutumwa moja kwa moja kwa seva za DNS zilizofafanuliwa katika usanidi wa mfumo, kwa upande wa DoH, ombi la kuamua anwani ya IP ya mwenyeji huwekwa kwenye trafiki ya HTTPS na kutumwa kwa seva ya HTTP, ambayo kisuluhishi huchakata maombi kupitia. API ya Wavuti. Kiwango cha sasa cha DNSSEC kinatumia usimbaji fiche ili tu kuthibitisha mteja na seva, lakini hailindi trafiki dhidi ya kukatiwa na haihakikishi usiri wa maombi.
Chanzo: opennet.ru