Các nhà phát triển Firefox đã công bố việc mở rộng chế độ DNS qua HTTPS (DoH), chế độ này sẽ được bật theo mặc định cho người dùng ở Canada (trước đây, DoH chỉ là chế độ mặc định cho Hoa Kỳ). Việc kích hoạt DoH cho người dùng Canada được chia thành nhiều giai đoạn: Vào ngày 20 tháng 1, DoH sẽ được kích hoạt cho 100% người dùng Canada và để tránh các sự cố không mong muốn, phạm vi phủ sóng sẽ tăng lên XNUMX% vào cuối tháng XNUMX.
Việc chuyển đổi người dùng Firefox ở Canada sang DoH được thực hiện với sự tham gia của CIRA (Cơ quan đăng ký Internet Canada), cơ quan quản lý sự phát triển của Internet ở Canada và chịu trách nhiệm về tên miền cấp cao nhất “ca”. CIRA cũng đã đăng ký TRR (Bộ giải quyết đệ quy đáng tin cậy) và là một trong những nhà cung cấp DNS qua HTTPS có sẵn trong Firefox.
Sau khi kích hoạt DoH, một cảnh báo sẽ hiển thị trên hệ thống của người dùng, cho phép, nếu muốn, từ chối chuyển đổi sang DoH và tiếp tục sử dụng sơ đồ truyền thống là gửi các yêu cầu không được mã hóa đến máy chủ DNS của nhà cung cấp. Bạn có thể thay đổi nhà cung cấp hoặc tắt DoH trong cài đặt kết nối mạng. Ngoài máy chủ CIRA DoH, bạn có thể chọn dịch vụ Cloudflare và NextDNS.
Các nhà cung cấp DoH được cung cấp trong Firefox được chọn theo yêu cầu về trình phân giải DNS đáng tin cậy, theo đó nhà điều hành DNS chỉ có thể sử dụng dữ liệu nhận được để phân giải nhằm đảm bảo hoạt động của dịch vụ, không được lưu trữ nhật ký lâu hơn 24 giờ và không thể chuyển dữ liệu cho bên thứ ba và được yêu cầu tiết lộ thông tin về phương pháp xử lý dữ liệu. Dịch vụ cũng phải đồng ý không kiểm duyệt, lọc, can thiệp hoặc chặn lưu lượng DNS, ngoại trừ các trường hợp do pháp luật quy định.
Chúng ta hãy nhớ lại rằng DoH có thể hữu ích trong việc ngăn chặn rò rỉ thông tin về tên máy chủ được yêu cầu thông qua máy chủ DNS của nhà cung cấp, chống lại các cuộc tấn công MITM và giả mạo lưu lượng DNS (ví dụ: khi kết nối với Wi-Fi công cộng), chống chặn tại DNS cấp độ (DoH không thể thay thế VPN trong lĩnh vực vượt qua chặn được triển khai ở cấp độ DPI) hoặc để tổ chức công việc nếu không thể truy cập trực tiếp vào máy chủ DNS (ví dụ: khi làm việc thông qua proxy). Nếu trong tình huống bình thường, các yêu cầu DNS được gửi trực tiếp đến các máy chủ DNS được xác định trong cấu hình hệ thống thì trong trường hợp DoH, yêu cầu xác định địa chỉ IP của máy chủ được gói gọn trong lưu lượng HTTPS và gửi đến máy chủ HTTP, nơi trình phân giải xử lý yêu cầu thông qua API Web. Tiêu chuẩn DNSSEC hiện tại chỉ sử dụng mã hóa để xác thực máy khách và máy chủ nhưng không bảo vệ lưu lượng truy cập khỏi bị chặn và không đảm bảo tính bảo mật của các yêu cầu.
Nguồn: opennet.ru