Розробники Firefox оголосили про розширення застосування режиму DNS поверх HTTPS (DoH, DNS over HTTPS), який буде включений за замовчуванням для користувачів Канади (раніше DoH за умовчанням застосовувався лише США). Включення DoH для користувачів з Канади поділено на кілька етапів: 20 липня DoH буде активовано для 1% користувачів з Канади і якщо не виникне непередбачених проблем, охоплення буде доведено до 100% до кінця вересня.
Переклад канадських користувачів Firefox на DoH проводиться за участю організації CIRA (Canadian Internet Registration Authority), що регулює розвиток інтернету в Канаді та відповідає за домен верхнього рівня "ca". Організація CIRA також підключилася до програми TRR (Trusted Recursive Resolver) і включена до провайдерів DNS-over-HTTPS, доступних у Firefox.
Після активації DoH на системі користувача буде виведено попередження, що дозволяє за бажання відмовитися від переходу на DoH і продовжити використання традиційної схеми надсилання незашифрованих запитів до DNS-сервера провайдера. Змінити провайдера або вимкнути DoH можна у налаштуваннях мережного з'єднання. Крім DoH-серверів CIRA, можна вибрати сервіси Cloudflare і NextDNS.
Провайдери DoH, що пропонуються в Firefox, відбираються відповідно до вимог до DNS-резолверів, що заслуговують на довіру, відповідно до яких DNS-оператор може використовувати отримані для резолвінгу дані тільки для забезпечення роботи сервісу, не повинен зберігати логи довше 24 годин, не може передавати дані третім особам і повинен розкривати інформацію про способи обробки даних. Сервіс також має дати зобов'язання не цензурувати, не фільтрувати, не втручатися та не блокувати DNS-трафік, за винятком ситуацій, передбачених законодавством.
Нагадаємо, що DoH може виявитися корисним для виключення витоків відомостей про запитовані імена хостів через DNS-сервери провайдерів, боротьби з MITM-атаками та заміною DNS-трафіку (наприклад, при підключенні до публічних Wi-Fi), протистояння блокуванням на рівні DNS (DoH не може замінити VPN в області обходу блокувань, реалізованих на рівні DPI або для організації роботи у разі неможливості прямого звернення до DNS-серверів (наприклад, при роботі через проксі). Якщо у звичайній ситуації DNS-запити безпосередньо відправляються на визначені в конфігурації системи DNS-сервери, то у разі DoH запит на визначення IP-адреси хоста інкапсулюється в трафік HTTPS і відправляється на сервер HTTP, на якому резолвер обробляє запити через Web API. Існуючий стандарт DNSSEC використовує шифрування лише для автентифікації клієнта та сервера, але не захищає трафік від перехоплення та не гарантує конфіденційність запитів.
Джерело: opennet.ru