Inanunsyo ng mga developer ng Firefox ang pagpapalawak ng DNS sa pamamagitan ng HTTPS (DoH) mode, na ie-enable bilang default para sa mga user sa Canada (dati, ang DoH ay default lang para sa US). Ang pagpapagana ng DoH para sa mga user ng Canada ay nahahati sa ilang yugto: sa Hulyo 20, ia-activate ang DoH para sa 1% ng mga user ng Canada at, maliban sa mga hindi inaasahang problema, ang saklaw ay tataas sa 100% sa katapusan ng Setyembre.
Isinasagawa ang paglipat ng mga user ng Canadian Firefox sa DoH sa pakikilahok ng CIRA (Canadian Internet Registration Authority), na kumokontrol sa pagbuo ng Internet sa Canada at responsable para sa top-level na domain na βcaβ. Nag-sign up din ang CIRA para sa TRR (Trusted Recursive Resolver) at isa sa mga DNS-over-HTTPS provider na available sa Firefox.
Pagkatapos i-activate ang DoH, may ipapakitang babala sa system ng user, na magbibigay-daan, kung ninanais, na tanggihan ang paglipat sa DoH at magpatuloy sa paggamit ng tradisyonal na pamamaraan ng pagpapadala ng mga hindi naka-encrypt na query sa DNS server ng provider. Maaari mong baguhin ang provider o huwag paganahin ang DoH sa mga setting ng koneksyon sa network. Bilang karagdagan sa mga server ng CIRA DoH, maaari mong piliin ang mga serbisyo ng Cloudflare at NextDNS.
Ang mga provider ng DoH na inaalok sa Firefox ay pinipili alinsunod sa mga kinakailangan para sa mapagkakatiwalaang mga DNS resolver, ayon sa kung saan magagamit lamang ng DNS operator ang data na natanggap para sa pagresolba upang matiyak ang pagpapatakbo ng serbisyo, hindi dapat mag-imbak ng mga log nang mas mahaba kaysa sa 24 na oras, at ay hindi maaaring maglipat ng data sa mga ikatlong partido at kinakailangan na ibunyag ang impormasyon tungkol sa mga pamamaraan sa pagproseso ng data. Dapat ding sumang-ayon ang serbisyo na huwag i-censor, salain, panghimasukan o harangan ang trapiko ng DNS, maliban sa mga sitwasyong itinakda ng batas.
Alalahanin na ang DoH ay maaaring maging kapaki-pakinabang para sa pagpigil sa mga paglabas ng impormasyon tungkol sa hiniling na mga pangalan ng host sa pamamagitan ng mga DNS server ng mga provider, paglaban sa mga pag-atake ng MITM at panggagaya sa trapiko ng DNS (halimbawa, kapag kumokonekta sa pampublikong Wi-Fi), pag-counter block sa antas ng DNS (DoH hindi maaaring palitan ang VPN sa lugar ng bypassing blocking na ipinatupad sa antas ng DPI) o para sa pag-aayos ng trabaho kung sakaling imposibleng direktang ma-access ang mga DNS server (halimbawa, kapag nagtatrabaho sa pamamagitan ng isang proxy). Habang nasa isang normal na sitwasyon, ang mga kahilingan ng DNS ay direktang ipinapadala sa mga DNS server na tinukoy sa configuration ng system, sa kaso ng DoH, ang kahilingan upang matukoy ang host IP address ay naka-encapsulate sa trapiko ng HTTPS at ipinadala sa HTTP server, kung saan ang solver. nagpoproseso ng mga kahilingan sa pamamagitan ng Web API. Ang kasalukuyang pamantayan ng DNSSEC ay gumagamit lamang ng pag-encrypt upang patotohanan ang kliyente at server, ngunit hindi pinoprotektahan ang trapiko mula sa pagharang at hindi ginagarantiyahan ang pagiging kumpidensyal ng mga kahilingan.
Pinagmulan: opennet.ru