Mozilla公司 与 Firefox 的第三方 DNS over HTTPS(DoH,DNS over HTTPS)协议。 除了之前提供的 CloudFlare DNS 服务器(“https://1.1.1.1/dns-query”)和 (),Comcast 服务 (https://doh.xfinity.com/dns-query) 也将包含在设置中。 激活 DoH 并选择 在网络连接设置中。
回想一下,在 Firefox 77 中,启用了 DNS over HTTPS 测试,每个客户端发送 10 个测试请求,并自动选择 DoH 提供商。 必须在版本中禁用此检查 ,因为它变成了一种对 NextDNS 服务的 DDoS 攻击,无法应对负载。
Firefox 中提供的 DoH 提供程序是根据 对可信赖的 DNS 解析器,据此 DNS 运营商只能将收到的数据用于解析以确保服务的运行,不得存储日志超过 24 小时,不能将数据传输给第三方,并被要求披露信息关于数据处理方法。 该服务还必须承诺不审查、过滤、干扰或阻止 DNS 流量,除非法律要求。
在与 DNS-over-HTTPS 相关的事件中,还可以注意到 Apple 将在 iOS 14 和 macOS 11 的未来版本中实现 DNS-over-HTTPS 和 DNS-over-TLS 支持,以及 支持 Safari 中的 WebExtension 扩展。
回想一下,DoH 可用于防止通过提供商的 DNS 服务器泄露有关请求的主机名的信息,打击 MITM 攻击和 DNS 流量欺骗(例如,当连接到公共 Wi-Fi 时),在 DNS 级别反阻止(DoH不能在绕过 DPI 级别实施的阻止方面取代 VPN)或在无法直接访问 DNS 服务器的情况下组织工作(例如,通过代理工作时)。 虽然通常 DNS 请求直接发送到系统配置中定义的 DNS 服务器,但在 DoH 的情况下,确定主机 IP 地址的请求被封装在 HTTPS 流量中并发送到 HTTP 服务器,解析器通过网络 API。 当前的 DNSSEC 标准仅使用加密来验证客户端和服务器,但不保护流量不被拦截,也不保证请求的机密性。
来源: opennet.ru