The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Компания Mozilla представила третьего провайдера DNS-over-HTTPS для Firefox

26.06.2020 12:01

Компания Mozilla заключила соглашение с третьим провайдером DNS поверх HTTPS (DoH, DNS over HTTPS) для Firefox. Помимо ранее предлагавшихся DNS-серверов CloudFlare ("https://1.1.1.1/dns-query") и NextDNS (https://dns.nextdns.io/id), в настройки также будет включён сервис Comcast (https://doh.xfinity.com/dns-query). Активировать DoH и выбрать провайдера можно в настройках сетевого соединения.

Напомним, что в Firefox 77 была включена тестовая проверка DNS over HTTPS с отправкой 10 пробных запросов каждым клиентом и автоматическим выбором провайдера DoH. Данную проверку пришлось отключить в выпуске 77.0.1, так как она превратилось в подобие DDoS-атаки на сервис NextDNS, который не справился с нагрузкой.

Предлагаемые в Firefox провайдеры DoH отбираются в соответствии с требованиями к заслуживающим доверие DNS-резолверам, в соответствии с которыми DNS-оператор может использовать получаемые для резолвинга данные только для обеспечения работы сервиса, не должен хранить логи дольше 24 часов, не может передавать данные третьим лицам и обязан раскрывать сведения о методах обработки данных. Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством.

Из связанных с DNS-over-HTTPS событий также можно отметить решение компании Apple реализовать поддержку DNS-over-HTTPS и DNS-over-TLS в будущих выпусках iOS 14 и macOS 11, а также добавить поддержку дополнений в формате WebExtension в Safari.

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DoH не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

  1. Главная ссылка к новости (https://blog.mozilla.org/blog/...)
  2. OpenNews: Корректирующее обновление Firefox 77.0.1 с прекращением тестирования DNS over HTTPS
  3. OpenNews: В Chrome 78 начнутся эксперименты с включением DNS-over-HTTPS
  4. OpenNews: DNS over HTTPS отключен по умолчанию в порте Firefox для OpenBSD
  5. OpenNews: Mozilla перейдёт с IRC на Matrix и добавит в Firefox второго провайдера DNS-over-HTTPS
  6. OpenNews: DNS-over-HTTPS включён по умолчанию в Firefox для пользователей из США
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/53238-mozilla
Ключевые слова: mozilla, dns, doh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (70) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, slava_kpss (ok), 12:39, 26/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +25 +/
    Чтобы не копаться в комментариях, напишу сразу 90% оных:
    - Добавили третьего шпиона
    - Обычного DNS хватает
    - HTTPS нинужна, раньше жили и без него как-то
    - А я сам поднял VPN с dnscrypt на инстансе за 5 рублей, сейчас бы без своего VPN в интернет выходить
    - Современный веб, который мы заслужили
     
     
  • 2.3, Корец (?), 12:44, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Забыл ещё один - современный веб, которого мы заслужили.
     
  • 2.4, Аноним (4), 12:46, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Молодец, держи свои 5 гривень.
     
  • 2.5, КО (?), 12:49, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Часть ботнета - часть интернета!
     
  • 2.6, Аноним (6), 13:01, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >за 5 рублей

    5 рублей за какой период?

     
  • 2.27, Аноним (-), 14:53, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Слишком много усилий в вашем посте. Домохозяйки качают в один клик Tor Browser и забывают о всех блокировках. Скачай и ты, бесплатно и без СМС! https://torproject.org/
     
     
  • 3.29, Аноним (29), 16:07, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    госдеп посадил их на голодный паёк, не сегодня завтра откинут копыта
    https://www.cnews.ru/news/top/2020-04-20_proekt_tor_uvolil_tret_sotrudnikov
    https://www.cnews.ru/news/top/2020-06-23_red_hattorwikipedia_poprosili_ssha
     
     
  • 4.31, Аноним (-), 17:22, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это значит, что теперь шанс внедрения бекдоров минимален.
     
     
  • 5.42, Вейланд (?), 19:37, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А старые никуда не делись.
     
     
  • 6.78, Она нас (?), 20:15, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А это неизлечимо. Имеется в виду паранойя.
     
  • 2.32, Ordu (ok), 17:22, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Отличный список. Пять минут морщил лоб, пытался дополнить, и не нашёл ничего, что ты бы забыл.
     
  • 2.35, ним (?), 18:20, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Обычного DNS хватает"

    Обычный DNS это какой?

     
     
  • 3.59, Vladjmir (ok), 20:35, 27/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    От провайдера.
     
  • 2.36, ann (??), 18:28, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Забыл ещё:

    - Лучше бы они браузер делали.
    - Ftp верните.

     
  • 2.38, rshadow (ok), 18:53, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А как же доделать "Великий Российский Фаервол"? И сразу отпадет надобность в выборе провайдера, он будет один.
     
  • 2.49, AnonPlus (?), 23:10, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Обычного DNS хватает

    Это нужно сказать пользователям из Белоруссии.

    https://oac.gov.by/public/content/files/files/law/prikaz-oac/2019 - 408.pdf

    Есть инфа, что с 1 июля DNS-трафик до зарубежных серверов будет заблокирован Белтелекомом.

     
     
  • 3.52, Аноним (52), 01:19, 27/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Внутри открывающегося сайта для меня пишет: Запрашиваемая Вами страница не найдена.
     
     
  • 4.53, Аноним (52), 01:21, 27/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не 404. Это текст админ создал. Или удалили или IP не устраивает.
     
     
  • 5.55, Аноним (52), 01:33, 27/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Понятно, надо копировать вместе c  - 408.pdf, А не открывать как ссылку.
     
  • 3.54, Аноним (52), 01:25, 27/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ссылка правильная?
     

  • 1.2, Ilya Indigo (ok), 12:43, 26/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Я уже думал что Google.
     
     
  • 2.26, 123 (??), 14:50, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Любитель сидеть в Goolag-е?
     
     
  • 3.28, Ilya Indigo (ok), 15:18, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Любитель сидеть в Goolag-е?

    Нет! Но тем не менее это было бы логично.

     

  • 1.7, Аноним (6), 13:03, 26/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Чего за этот DoHTTPS вцепились, лучше бы DoTLS был.
     
     
  • 2.9, ilyafedin (ok), 13:21, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Порт заблокировал и нет твоего DoT
     
     
  • 3.10, Аноним (10), 13:29, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Порт заблокировал и нет у тебя абонентов, все к другому провайдеру ушли который не блокирует.
     
     
  • 4.12, ilyafedin (ok), 13:35, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Порт заблокировал и нет у тебя абонентов, все к другому провайдеру ушли
    > который не блокирует.

    Ты не можешь уйти к другому, если некуда идти (корпоративный файрволл/государтсвенная блокировка/etc)

     
     
  • 5.22, Аноним (-), 14:34, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Даже если вас съели, у вас как минимум 2 выхода. Вас там что, к веслу приковали?

    > (корпоративный файрволл/

    Уволиться?

    > государтсвенная блокировка/etc)

    Сменить страну проживания на менее гестаповскую?

     
     
  • 6.24, ilyafedin (ok), 14:39, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > вас

    Речь шла как бы не лично про меня

     
  • 4.50, AnonPlus (?), 23:25, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Удачи провернуть это в Белоруссии, где у всех один аплинк в виде Белтелеком, который и будет блокировать.
     
  • 3.15, Аноним (-), 14:24, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Порт заблокировал и нет у тебя интернета.

    //FIX. Ибо при блоке https'ного порта будет вот это.

     
     
  • 4.19, ilyafedin (ok), 14:28, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Порт заблокировал и нет у тебя интернета.
    > //FIX. Ибо при блоке https'ного порта будет вот это.

    Речь была про DoT, у него свой отдельный порт, в отличии от DoH

     
     
  • 5.21, Аноним (-), 14:32, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Речь была про DoT, у него свой отдельный порт, в отличии от DoH

    А, вот это зря. Впрочем впн не отменяли.

     
  • 5.62, Аноним (62), 06:53, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    TLS отдельный порт не обязателен, он вполне может и на 53 посидеть. Это для SSLv2/v3 требовался отдельный порт. Пример, использование TLS с XMPP. Что без шифрования, что с шифрованием используется один и тот же порт 5222. Так и в случае с DNS, можно в обоих случаях использовать один и тот же 53.
     
     
  • 6.63, ilyafedin (ok), 06:54, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > TLS отдельный порт не обязателен, он вполне может и на 53 посидеть.
    > Это для SSLv2/v3 требовался отдельный порт. Пример, использование TLS с XMPP.
    > Что без шифрования, что с шифрованием используется один и тот же
    > порт 5222. Так и в случае с DNS, можно в обоих
    > случаях использовать один и тот же 53.

    От DPI это не спасет, трафик все равно отличается

     
     
  • 7.65, Аноним (62), 07:04, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Обфускация?
    А как тогда DoH спасёт от DPI?
     
     
  • 8.66, ilyafedin (ok), 07:30, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Заблокировал DoH - заблокировал весь HTTPS... текст свёрнут, показать
     
  • 3.41, rshadow (ok), 19:03, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, если бы в dns еще и порт отдавался бы.
     
     
  • 4.64, Аноним (62), 06:56, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Замкнутый круг?
     
  • 3.61, Аноним (62), 06:40, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Порт заблокировал и нет твоего DoT

    Как и нет обычного DNS при этом.

     
  • 2.17, Аноним (-), 14:25, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Чего за этот DoHTTPS вцепились, лучше бы DoTLS был.

    С HTTP/2 и тем более HTTP/3 слишком быстро работать стало, надо притормозить :)

     

  • 1.8, Аноним (8), 13:06, 26/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Comcast

    Спасибо, унесите.

     
  • 1.11, Аноним (11), 13:33, 26/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Весь этот ДоХ пока лишь очередные сказки о всеобщей безопасности, если запихнуть все в https. Все браузеры дружно (як подорванные) включили эту опцию в свой функционал, но работает она через жопу. Всё от лукавого.
     
     
  • 2.34, Аноним (34), 18:10, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Весь этот ДоХ пока лишь очередные сказки о всеобщей безопасности, если запихнуть все в https.

    Это же не для безопасности делается. Этот "триппер" со временем прибьют гвоздями и у вас будут проблемы с перенаправлением всяких дублькликов на 127.0.0.1.

     

  • 1.13, Аноним (13), 14:00, 26/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ага, маленькая приписка насчёт действующего законодательства,
    так как-то мы хорошие, но вот скажет законодатель хранить данные полгода и записывать IP, это уже ни к нам, мы только всем кому можно продадим ваши данные, но это только чтобы отбить емкости для хранения данных за подгода
     
     
  • 2.18, Аноним (18), 14:25, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для этого сначала придётся прописать идентификацию личности при доступе к DNS. При доступе к интернету идентификация личности уже проведена провайдером.
     
     
  • 3.37, Аноним (37), 18:49, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гугл поможет - все твои акки сдаёт АНБ вместе с локацией
     
     
  • 4.77, Она нас (?), 20:13, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Видать вы настрадались от них! От этих спецслужб. Мама-не-горюй.
     
  • 2.39, VladSh (?), 18:54, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, я тоже читаю, и с каждым словом аж гордость за кого-то там поднимается! А потом всё сразу и упало...))
     
  • 2.48, Ordu (ok), 22:51, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Эта маленькая приписка касается исключительно фильтрации и блокирования доступа. Ты можешь по ссылке[1] перейти из статьи, и убедиться в этом.

    [1] https://blog.mozilla.org/netpolicy/2019/12/09/trusted-recursive-resolvers-prot

     

  • 1.16, Аноним (37), 14:24, 26/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Тотальный колпак растёт :) Как там ловили украинского хакера на основе сессий с айфона (об этом знала Эппл) и логов соцсайтов (любезно предоставлены хостерами), что не составило труда анбешникам сопоставить номер с профилем и взять родимого в первой ближайшей стране-партнёре.
     
     
  • 2.20, Аноним (-), 14:32, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Как там ловили украинского хакера на основе сессий с айфона

    Не путайте хакеров и ламеров.

     
     
  • 3.23, Аноним (37), 14:34, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Одно другого не исключает
     
  • 2.51, Аноним (51), 23:47, 26/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> хакер
    >> с айфоном

    вот и выросло поколение. смена, которую мы заслужили (нет).

     
     
  • 3.56, Аноним (56), 04:59, 27/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это еще древние говорили.
     
  • 3.76, Она нас (?), 20:12, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо вам оно не нравится? Да уж. Хорошего мало.
     

  • 1.25, Урри (?), 14:45, 26/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Помимо ранее предлагавшихся DNS-серверов CloudFlare ("https://1.1.1.1/dns-query") и NextDNS (https://dns.nextdns.io/id)

    Читать надо так потому что NextDNS тоже работает через CloudFlare:
    Помимо ранее предлагавшихся DNS-серверов CloudFlare и CloudFlare

     
  • 1.30, Дегенератор (ok), 17:08, 26/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Падений стало на треть больше. Нужно скруглить и увеличить отступы в адресной строке!
     
  • 1.33, Аноним (33), 17:39, 26/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Плюсую не глядя.
     
  • 1.40, Casm (??), 18:58, 26/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Можно ещё локальный DoH сервер настроить с помощью dnscrypt-proxy
    https://github.com/DNSCrypt/dnscrypt-proxy/wiki/Local-DoH
     
  • 1.43, BlackRot (ok), 19:56, 26/06/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –1 +/
     
     
  • 2.44, Аноним (37), 21:13, 26/06/2020 Скрыто модератором
  • +/
     
  • 2.67, Аноним (-), 07:42, 28/06/2020 Скрыто модератором
  • +/
     

     ....ответы скрыты модератором (2)

  • 1.57, xm (ok), 13:00, 27/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Mozilla, по крайней мере, даёт указать свой DoH сервер, в отличие от уютного гетто Chrome где выбора нет.
     
     
  • 2.58, Аноним (37), 15:18, 27/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ведь у каждой кухарки есть свой DoH
     
     
  • 3.60, xm (ok), 20:38, 27/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да уже практически
    https://github.com/curl/curl/wiki/DNS-over-HTTPS
     
     
  • 4.69, Аноним (-), 04:05, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Желание переименовать имя МК на нормальное ещё не появилось?
     
     
  • 5.82, Аноним (82), 13:23, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда и эту фразу можно скрывайть. Смысл не полный, без другой фразы.
     

  • 1.81, Аноним (-), 07:44, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Противники приватности негодуют!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру