Prohoster > Blog > tin tức mạng > Mozilla giới thiệu nhà cung cấp DNS-over-HTTPS thứ ba cho Firefox

Mozilla giới thiệu nhà cung cấp DNS-over-HTTPS thứ ba cho Firefox

Công ty Mozilla kết luận thỏa thuận với nhà cung cấp thứ ba DNS qua HTTPS (DoH, DNS qua HTTPS) cho Firefox. Ngoài các máy chủ DNS được cung cấp trước đó, CloudFlare (“https://1.1.1.1/dns-query”) và NextDN (https://dns.nextdns.io/id), dịch vụ Comcast cũng sẽ được bao gồm trong cài đặt (https://doh.xfinity.com/dns-query). Kích hoạt DoH và chọn nhà cung cấp ai có thể trong cài đặt kết nối mạng.

Hãy nhớ rằng Firefox 77 đã bao gồm kiểm tra DNS qua HTTPS với mỗi khách hàng gửi 10 yêu cầu kiểm tra và tự động chọn nhà cung cấp DoH. Kiểm tra này phải bị vô hiệu hóa khi phát hành 77.0.1, vì nó đã trở thành một kiểu tấn công DDoS vào dịch vụ NextDNS, dịch vụ này không thể chịu được tải.

Các nhà cung cấp DoH được cung cấp trong Firefox được lựa chọn theo yêu cầu cho các trình phân giải DNS đáng tin cậy, theo đó nhà điều hành DNS chỉ có thể sử dụng dữ liệu nhận được để phân giải nhằm đảm bảo hoạt động của dịch vụ, không được lưu trữ nhật ký quá 24 giờ, không được chuyển dữ liệu cho bên thứ ba và có nghĩa vụ tiết lộ thông tin về các phương pháp xử lý dữ liệu. Dịch vụ cũng phải đồng ý không kiểm duyệt, lọc, can thiệp hoặc chặn lưu lượng DNS, ngoại trừ các trường hợp được pháp luật quy định.

Các sự kiện liên quan đến DNS-over-HTTPS cũng có thể được ghi chú quyết định Apple sẽ triển khai hỗ trợ DNS-over-HTTPS và DNS-over-TLS trong các bản phát hành iOS 14 và macOS 11 trong tương lai, cũng như thêm vào hỗ trợ các tiện ích mở rộng WebExtension trong Safari.

Chúng ta hãy nhớ lại rằng DoH có thể hữu ích trong việc ngăn chặn rò rỉ thông tin về tên máy chủ được yêu cầu thông qua máy chủ DNS của nhà cung cấp, chống lại các cuộc tấn công MITM và giả mạo lưu lượng DNS (ví dụ: khi kết nối với Wi-Fi công cộng), chống chặn tại DNS cấp độ (DoH không thể thay thế VPN trong lĩnh vực vượt qua chặn được triển khai ở cấp độ DPI) hoặc để tổ chức công việc nếu không thể truy cập trực tiếp vào máy chủ DNS (ví dụ: khi làm việc thông qua proxy). Nếu trong tình huống bình thường, các yêu cầu DNS được gửi trực tiếp đến các máy chủ DNS được xác định trong cấu hình hệ thống thì trong trường hợp DoH, yêu cầu xác định địa chỉ IP của máy chủ được gói gọn trong lưu lượng HTTPS và gửi đến máy chủ HTTP, nơi trình phân giải xử lý yêu cầu thông qua API Web. Tiêu chuẩn DNSSEC hiện tại chỉ sử dụng mã hóa để xác thực máy khách và máy chủ nhưng không bảo vệ lưu lượng truy cập khỏi bị chặn và không đảm bảo tính bảo mật của các yêu cầu.

Nguồn: opennet.ru

Thêm một lời nhận xét