Компанія Mozilla угода з третім провайдерів DNS поверх HTTPS (DoH, DNS over HTTPS) для Firefox. Крім раніше пропонованих DNS-серверів CloudFlare («https://1.1.1.1/dns-query») та (), у налаштування також буде включено сервіс Comcast (https://doh.xfinity.com/dns-query). Активувати DoH та вибрати у налаштуваннях мережного з'єднання.
Нагадаємо, що Firefox 77 була включена тестова перевірка DNS over HTTPS з відправкою 10 пробних запитів кожним клієнтом і автоматичним вибором провайдера DoH. Цю перевірку довелося відключити у випуску Так як вона перетворилася на подобу DDoS-атаки на сервіс NextDNS, який не впорався з навантаженням.
Провайдери DoH, що пропонуються в Firefox, відбираються відповідно до до DNS-резолверів, що заслуговують на довіру, відповідно до яких DNS-оператор може використовувати отримані для резолвінгу дані тільки для забезпечення роботи сервісу, не повинен зберігати логи довше 24 годин, не може передавати дані третім особам і зобов'язаний розкривати відомості про методи обробки даних. Сервіс також має дати зобов'язання не цензурувати, не фільтрувати, не втручатися та не блокувати DNS-трафік, за винятком ситуацій, передбачених законодавством.
З пов'язаних з DNS-over-HTTPS подій також можна відзначити компанії Apple реалізувати підтримку DNS-over-HTTPS та DNS-over-TLS у майбутніх випусках iOS 14 та macOS 11, а також підтримку доповнень у форматі WebExtension у Safari.
Нагадаємо, що DoH може виявитися корисним для виключення витоків відомостей про запитовані імена хостів через DNS-сервери провайдерів, боротьби з MITM-атаками та заміною DNS-трафіку (наприклад, при підключенні до публічних Wi-Fi), протистояння блокуванням на рівні DNS (DoH не може замінити VPN в області обходу блокувань, реалізованих на рівні DPI або для організації роботи у разі неможливості прямого звернення до DNS-серверів (наприклад, при роботі через проксі). Якщо у звичайній ситуації DNS-запити безпосередньо відправляються на визначені в конфігурації системи DNS-сервери, то у разі DoH запит на визначення IP-адреси хоста інкапсулюється в трафік HTTPS і відправляється на сервер HTTP, на якому резолвер обробляє запити через Web API. Існуючий стандарт DNSSEC використовує шифрування лише для автентифікації клієнта та сервера, але не захищає трафік від перехоплення та не гарантує конфіденційність запитів.
Джерело: opennet.ru