Firefox ishlab chiquvchilari Kanadadagi foydalanuvchilar uchun sukut bo'yicha yoqiladigan HTTPS (DoH) rejimi orqali DNS kengayganini e'lon qilishdi (ilgari DoH faqat AQSh uchun sukut bo'yicha edi). Kanadalik foydalanuvchilar uchun DoHni yoqish bir necha bosqichlarga bo'lingan: 20-iyul kuni Kanadalik foydalanuvchilarning 1% uchun DoH faollashtiriladi va kutilmagan muammolarni bartaraf qilib, sentabr oxirigacha qamrov 100% gacha oshiriladi.
Kanadalik Firefox foydalanuvchilarining DoH-ga o'tishi Kanadada Internetning rivojlanishini tartibga soluvchi va yuqori darajadagi "ca" domeni uchun mas'ul bo'lgan CIRA (Kanada Internetni ro'yxatga olish organi) ishtirokida amalga oshiriladi. CIRA shuningdek, TRR (Ishonchli rekursiv resolver) uchun ro'yxatdan o'tgan va Firefox-da mavjud bo'lgan DNS-over-HTTPS provayderlaridan biridir.
DoH faollashtirilgandan so'ng, foydalanuvchi tizimida ogohlantirish paydo bo'ladi, agar xohlasa, DoH-ga o'tishni rad etish va provayderning DNS serveriga shifrlanmagan so'rovlarni yuborishning an'anaviy sxemasidan foydalanishni davom ettirish imkonini beradi. Tarmoq ulanishi sozlamalarida provayderni o'zgartirishingiz yoki DoHni o'chirib qo'yishingiz mumkin. CIRA DoH serverlaridan tashqari siz Cloudflare va NextDNS xizmatlarini tanlashingiz mumkin.
Firefox-da taqdim etiladigan DoH provayderlari ishonchli DNS-resolverlarga qo'yiladigan talablarga muvofiq tanlanadi, unga ko'ra DNS operatori olingan ma'lumotlardan faqat xizmat ishlashini ta'minlash uchun foydalanishi mumkin, jurnallarni 24 soatdan ortiq saqlamasligi va uchinchi shaxslarga ma'lumotlarni uzatish va ma'lumotlarni qayta ishlash usullari haqidagi ma'lumotlarni oshkor qilish talab qilinadi. Xizmat, shuningdek, qonunda nazarda tutilgan hollar bundan mustasno, DNS-trafikni tsenzura, filtrlash, aralashmaslik yoki bloklamaslikka rozi bo'lishi kerak.
Eslatib o'tamiz, DoH provayderlarning DNS serverlari orqali so'ralgan xost nomlari haqidagi ma'lumotlarning sizib chiqishini oldini olish, MITM hujumlari va DNS trafigini aldashga qarshi (masalan, umumiy Wi-Fi tarmog'iga ulanishda), DNS blokirovkasiga qarshi kurashishda foydali bo'lishi mumkin. darajasida (DoH DPI darajasida amalga oshirilgan blokirovkani chetlab o'tish sohasida VPN o'rnini bosa olmaydi) yoki DNS serverlariga to'g'ridan-to'g'ri kirish imkoni bo'lmasa (masalan, proksi-server orqali ishlashda) ishlarni tashkil qilish uchun. Agar normal holatda DNS so'rovlari to'g'ridan-to'g'ri tizim konfiguratsiyasida belgilangan DNS serverlariga yuborilsa, DoH holatida xostning IP-manzilini aniqlash so'rovi HTTPS trafigiga qamrab olinadi va HTTP serveriga yuboriladi, bu erda hal qiluvchi qayta ishlanadi. Web API orqali so'rovlar. Mavjud DNSSEC standarti faqat mijoz va serverni autentifikatsiya qilish uchun shifrlashdan foydalanadi, lekin trafikni ushlab qolishdan himoya qilmaydi va so'rovlarning maxfiyligini kafolatlamaydi.
Manba: opennet.ru