Firefox 開發者宣布擴展 DNS over HTTPS (DoH) 模式,加拿大用戶將預設啟用該模式(先前,DoH 僅為美國用戶的預設啟用)。 為加拿大用戶啟用DoH分為幾個階段:20月1日,將為100%的加拿大用戶啟動DoH,如果不出意外問題,覆蓋範圍將在XNUMX月底增加到XNUMX%。
加拿大 Firefox 用戶向 DoH 的過渡是在 CIRA(加拿大互聯網註冊管理局)的參與下進行的,該機構負責監管加拿大互聯網的發展,並負責頂級域名“ca”。 CIRA 也註冊了 TRR(可信任遞歸解析器),並且是 Firefox 中可用的 DNS-over-HTTPS 提供者之一。
啟動 DoH 後,使用者的系統上將顯示一條警告,如果需要,允許拒絕過渡到 DoH 並繼續使用向提供者的 DNS 伺服器發送未加密請求的傳統方案。 您可以變更提供者或在網路連線設定中停用 DoH。 除了 CIRA DoH 伺服器之外,您還可以選擇 Cloudflare 和 NextDNS 服務。
Firefox 中提供的DoH 提供者是根據值得信賴的DNS 解析器的要求來選擇的,根據該要求,DNS 運營商只能使用收到的解析資料來確保服務的運行,不得存儲超過24 小時的日誌,並且不能將資料傳輸給第三方,並被要求揭露有關資料處理方法的資訊。 該服務還必須同意不審查、過濾、幹擾或阻止 DNS 流量,但法律規定的情況除外。
讓我們回想一下,DoH 可用於防止透過提供者的 DNS 伺服器洩漏有關所請求主機名稱的資訊、對抗 MITM 攻擊和 DNS 流量欺騙(例如,在連接到公共 Wi-Fi 時)、對抗 DNS 阻塞如果無法直接存取DNS 伺服器(例如,透過代理程式工作時),DoH 無法在繞過DPI 層級實施的封鎖方面取代VPN)或用於組織工作。 如果在正常情況下 DNS 請求直接傳送到系統設定中定義的 DNS 伺服器,那麼在 DoH 的情況下,確定主機 IP 位址的請求將封裝在 HTTPS 流量中並傳送到 HTTP 伺服器,解析器在其中處理透過Web API 發出請求。 現有的DNSSEC標準僅使用加密來驗證客戶端和伺服器,但不能保護流量不被攔截,也不能保證請求的機密性。
來源: opennet.ru