摩斯拉公司 與適用於 Firefox 的第三方供應商 DNS over HTTPS(DoH、DNS over HTTPS)達成協議。 除了先前提供的 DNS 伺服器 CloudFlare (“https://1.1.1.1/dns-query”) 和 (),Comcast 服務也將包含在設定中(https://doh.xfinity.com/dns-query)。 激活 DoH 並選擇 在網路連線設定中。
讓我們記住,Firefox 77 包含一個基於 HTTPS 的 DNS 測試,每個客戶端發送 10 個測試請求並自動選擇 DoH 提供者。 必須在版本中停用此檢查 ,因為它變成了對 NextDNS 服務的一種 DDoS 攻擊,無法應對負載。
Firefox 中提供的 DoH 提供者是根據以下條件選擇的 向值得信賴的DNS 解析器提供,根據該規定,DNS 運營商只能將收到的數據用於解析以確保服務的運行,不得存儲日誌超過24 小時,不能將數據傳輸給第三方,並有義務揭露有關的資訊資料處理方法。 該服務還必須同意不審查、過濾、幹擾或阻止 DNS 流量,但法律規定的情況除外。
也可以記錄與 DNS-over-HTTPS 相關的事件 Apple 將在 iOS 14 和 macOS 11 的未來版本中實現對 DNS-over-HTTPS 和 DNS-over-TLS 的支持,以及 支援 Safari 中的 WebExtension 擴充功能。
讓我們回想一下,DoH 可用於防止透過提供者的 DNS 伺服器洩漏有關所請求主機名稱的資訊、對抗 MITM 攻擊和 DNS 流量欺騙(例如,在連接到公共 Wi-Fi 時)、對抗 DNS 阻塞如果無法直接存取DNS 伺服器(例如,透過代理程式工作時),DoH 無法在繞過DPI 層級實施的封鎖方面取代VPN)或用於組織工作。 如果在正常情況下 DNS 請求直接傳送到系統設定中定義的 DNS 伺服器,那麼在 DoH 的情況下,確定主機 IP 位址的請求將封裝在 HTTPS 流量中並傳送到 HTTP 伺服器,解析器在其中處理透過Web API 發出請求。 現有的DNSSEC標準僅使用加密來驗證客戶端和伺服器,但不能保護流量不被攔截,也不能保證請求的機密性。
來源: opennet.ru