Firefox 开发者宣布扩展 DNS over HTTPS (DoH) 模式,加拿大用户将默认启用该模式(此前,DoH 仅为美国用户的默认启用)。 为加拿大用户启用 DoH 分为几个阶段:20 月 1 日,将为 100% 的加拿大用户激活 DoH,除非出现意外问题,覆盖范围将在 XNUMX 月底增加到 XNUMX%。
加拿大 Firefox 用户向 DoH 的过渡是在 CIRA(加拿大互联网注册管理局)的参与下进行的,该机构负责监管加拿大互联网的发展,并负责顶级域名“ca”。 CIRA 还注册了 TRR(可信递归解析器),并且是 Firefox 中可用的 DNS-over-HTTPS 提供商之一。
激活 DoH 后,用户的系统上将显示一条警告,如果需要,允许拒绝过渡到 DoH 并继续使用向提供商的 DNS 服务器发送未加密请求的传统方案。 您可以更改提供商或在网络连接设置中禁用 DoH。 除了 CIRA DoH 服务器之外,您还可以选择 Cloudflare 和 NextDNS 服务。
Firefox 中提供的 DoH 提供商是根据值得信赖的 DNS 解析器的要求来选择的,根据该要求,DNS 运营商只能使用收到的解析数据来确保服务的运行,不得存储超过 24 小时的日志,并且不能将数据传输给第三方,并被要求披露有关数据处理方法的信息。 该服务还必须同意不审查、过滤、干扰或阻止 DNS 流量,法律规定的情况除外。
回想一下,DoH 可用于防止通过提供商的 DNS 服务器泄露有关请求的主机名的信息,打击 MITM 攻击和 DNS 流量欺骗(例如,当连接到公共 Wi-Fi 时),在 DNS 级别反阻止(DoH不能在绕过 DPI 级别实施的阻止方面取代 VPN)或在无法直接访问 DNS 服务器的情况下组织工作(例如,通过代理工作时)。 虽然通常 DNS 请求直接发送到系统配置中定义的 DNS 服务器,但在 DoH 的情况下,确定主机 IP 地址的请求被封装在 HTTPS 流量中并发送到 HTTP 服务器,解析器通过网络 API。 当前的 DNSSEC 标准仅使用加密来验证客户端和服务器,但不保护流量不被拦截,也不保证请求的机密性。
来源: opennet.ru