Mozilla Şirketi Firefox için üçüncü sağlayıcılarla HTTPS üzerinden DNS (DoH, HTTPS üzerinden DNS) anlaşması. Daha önce sunulan DNS sunucularına ek olarak CloudFlare (“https://1.1.1.1/dns-query”) ve (), Comcast hizmeti de ayarlara dahil edilecektir (https://doh.xfinity.com/dns-query). DoH'yi etkinleştirin ve seçin ağ bağlantısı ayarlarında.
Firefox 77'nin, her istemcinin 10 test isteği gönderip otomatik olarak bir DoH sağlayıcısını seçtiği HTTPS üzerinden DNS testi içerdiğini hatırlayalım. Bu kontrolün sürümde devre dışı bırakılması gerekiyordu NextDNS hizmetine yük ile baş edemeyen bir tür DDoS saldırısına dönüştüğü için.
Firefox'ta sunulan DoH sağlayıcıları şunlara göre seçilir: DNS operatörünün alınan verileri yalnızca hizmetin çalışmasını sağlamak için çözümleme amacıyla kullanabileceği, günlükleri 24 saatten fazla saklamaması gerektiği, verileri üçüncü taraflara aktaramayacağı ve ilgili bilgileri açıklamakla yükümlü olduğu güvenilir DNS çözümleyicilere veri işleme yöntemleri. Hizmet ayrıca yasaların öngördüğü durumlar dışında DNS trafiğini sansürlememeyi, filtrelememeyi, engellememeyi veya engellememeyi kabul etmelidir.
HTTPS üzerinden DNS ile ilgili olaylar da not edilebilir Apple, iOS 14 ve macOS 11'in gelecekteki sürümlerinde DNS-over-HTTPS ve DNS-over-TLS desteğini uygulayacak. Safari'de WebExtension uzantıları desteği.
DoH'nin, sağlayıcıların DNS sunucuları aracılığıyla istenen ana bilgisayar adlarıyla ilgili bilgi sızıntılarını önlemek, MITM saldırıları ve DNS trafiği sahtekarlığıyla mücadele etmek (örneğin, halka açık Wi-Fi'ye bağlanırken), DNS düzeyinde (DoH) engellemeye karşı koymak için yararlı olabileceğini hatırlayın. DPI düzeyinde uygulanan engellemeyi atlama alanında VPN'in yerini alamaz) veya DNS sunucularına doğrudan erişmenin imkansız olması durumunda (örneğin, bir proxy aracılığıyla çalışırken) işi organize etmek için. Normalde DNS istekleri doğrudan sistem yapılandırmasında tanımlanan DNS sunucularına gönderilirken, DoH durumunda, ana bilgisayar IP adresini belirleme isteği HTTPS trafiği içinde kapsüllenir ve çözümleyicinin istekleri üzerinden işlediği HTTP sunucusuna gönderilir. Web API'sı. Mevcut DNSSEC standardı, şifrelemeyi yalnızca istemci ve sunucunun kimliğini doğrulamak için kullanır, ancak trafiği müdahaleye karşı korumaz ve isteklerin gizliliğini garanti etmez.
Kaynak: opennet.ru