Mozilla Company kasunduan sa mga ikatlong provider na DNS sa HTTPS (DoH, DNS sa HTTPS) para sa Firefox. Bilang karagdagan sa naunang inaalok na CloudFlare DNS server ("https://1.1.1.1/dns-query") at (), ang serbisyo ng Comcast (https://doh.xfinity.com/dns-query) ay isasama rin sa mga setting. I-activate ang DoH at piliin sa mga setting ng koneksyon sa network.
Tandaan na sa Firefox 77, pinagana ang DNS over HTTPS test na may 10 kahilingan sa pagsubok na ipinadala ng bawat kliyente at awtomatikong pagpili ng isang provider ng DoH. Kinailangang i-disable ang pagsusuring ito sa paglabas , dahil ito ay naging isang uri ng pag-atake ng DDoS sa serbisyo ng NextDNS, na hindi makayanan ang pagkarga.
Ang mga provider ng DoH na inaalok sa Firefox ay pinili ayon sa sa mga mapagkakatiwalaang DNS resolver, ayon sa kung saan magagamit lamang ng DNS operator ang data na natanggap para sa pagresolba upang matiyak ang pagpapatakbo ng serbisyo, hindi dapat mag-imbak ng mga log nang higit sa 24 na oras, hindi maaaring maglipat ng data sa mga third party, at kinakailangang magbunyag ng impormasyon tungkol sa mga pamamaraan ng pagproseso ng data. Ang serbisyo ay dapat ding mangako na hindi magse-censor, mag-filter, manghimasok, o harangan ang trapiko ng DNS, maliban kung kinakailangan ng batas.
Sa mga kaganapang nauugnay sa DNS-over-HTTPS, maaari ding tandaan Ipapatupad ng Apple ang DNS-over-HTTPS at DNS-over-TLS na suporta sa mga darating na release ng iOS 14 at macOS 11, at suporta para sa mga extension ng WebExtension sa Safari.
Alalahanin na ang DoH ay maaaring maging kapaki-pakinabang para sa pagpigil sa mga paglabas ng impormasyon tungkol sa hiniling na mga pangalan ng host sa pamamagitan ng mga DNS server ng mga provider, paglaban sa mga pag-atake ng MITM at panggagaya sa trapiko ng DNS (halimbawa, kapag kumokonekta sa pampublikong Wi-Fi), pag-counter block sa antas ng DNS (DoH hindi maaaring palitan ang VPN sa lugar ng bypassing blocking na ipinatupad sa antas ng DPI) o para sa pag-aayos ng trabaho kung sakaling imposibleng direktang ma-access ang mga DNS server (halimbawa, kapag nagtatrabaho sa pamamagitan ng isang proxy). Habang nasa isang normal na sitwasyon, ang mga kahilingan ng DNS ay direktang ipinapadala sa mga DNS server na tinukoy sa configuration ng system, sa kaso ng DoH, ang kahilingan upang matukoy ang host IP address ay naka-encapsulate sa trapiko ng HTTPS at ipinadala sa HTTP server, kung saan ang solver. nagpoproseso ng mga kahilingan sa pamamagitan ng Web API. Ang kasalukuyang pamantayan ng DNSSEC ay gumagamit lamang ng pag-encrypt upang patotohanan ang kliyente at server, ngunit hindi pinoprotektahan ang trapiko mula sa pagharang at hindi ginagarantiyahan ang pagiging kumpidensyal ng mga kahilingan.
Pinagmulan: opennet.ru