Разработчиците на Firefox пуснаха чрез реклама включването на режима DNS по подразбиране през HTTPS (DoH) за потребители в САЩ. От днес, DoH той е активиран по подразбиране за всички нови инсталации от потребители в САЩ. като има предвид, че за настоящите потребители в САЩ те трябва да преминат към DoH след няколко седмици. В Европейския съюз и други страни те все още не планират да активират DoH по подразбиране.
Потребителите имат възможност да избират между двама доставчици: Cloudflare и NextDNS, които са доверени решения. След като активират DoH, те ще получат предупреждение, позволяващо на потребителя да се откаже от достъпа до централизирани DoH DNS сървъри и да се върне към традиционната схема за изпращане на некриптирани заявки до DNS сървъра на доставчика.
Вместо разпределена инфраструктура на DNS преобразуватели, DoH използва връзка към конкретна DoH услуга, което може да се разглежда като единична точка на отказ. Понастоящем работата се предлага чрез два DNS доставчика: CloudFlare (по подразбиране) и NextDNS.
Криптирането на DNS данни с DoH е само първата стъпка. За Mozilla, изискването компаниите, които обработват тези данни, да имат установени правила, като тези, описани в програмата TRR, гарантира, че достъпът до тези данни не се злоупотребява. Следователно е задължително.
„За повечето потребители е много трудно да разберат къде отиват техните DNS заявки и какво прави преобразувателят с тях“, каза Ерик Рескорла, технически директор на Firefox. „Програмата за доверен рекурсивен решател на Firefox позволява на Mozilla да преговаря с доставчици от нейно име и да изисква стриктни политики за поверителност, преди да обработва вашите DNS данни.“ Радваме се, че NextDNS си партнира с нас, докато работим за хората да си възвърнат контрола върху данните и поверителността си онлайн. "
Издателят е убеден, че чрез комбиниране на правилната технология (DoH в този случай) и строги оперативни изисквания за тези, които го прилагат, намират добри партньори и установяват правни споразумения, които дават приоритет на поверителността, по подразбиране това ще подобри поверителността на потребителите.
Важно е да запомните това DoH може да бъде полезен за премахване на изтичането на информация на имената на хостове, поискани чрез DNS сървърите на доставчиците, борба с MITM атаки и замяна на DNS трафик (например при свързване с обществен Wi-Fi) и противопоставянето на блокиране на DNS (DoH) не може да замени VPN в областта на избягването на внедрени блокове на ниво DPI) или да организира работа, ако е невъзможно директният достъп до DNS сървъри (например при работа чрез прокси).
Ако в нормални ситуации DNS заявките се изпращат директно до DNS сървърите, дефинирани в системната конфигурация, тогава в случая на DoH заявката за определяне на IP адреса на хоста се капсулира в HTTPS трафик и се изпраща на HTTP сървъра, в който резолвера обработва заявки чрез уеб API. Съществуващият DNSSEC стандарт използва криптиране само за удостоверяване на клиент и сървър.
Използването на DoH може да причини проблеми в области като системи за родителски контрол, достъп до вътрешни пространства от имена в корпоративни системи, избор на път в системите за оптимизиране на доставката на съдържание и спазване на съдебните разпореждания за борба с разпространението на незаконно съдържание и експлоатацията на непълнолетни.
За да се заобиколят подобни проблеми, е внедрена и тествана система за проверка, която автоматично деактивира DoH при определени условия.
За да направите промяната или деактивирането на доставчика на DoH може да бъде в конфигурацията на мрежовата връзка. Например можете да посочите алтернативен DoH сървър за достъп до сървъри на Google, в about: config.
Стойността 0 напълно деактивира, докато 1 се използва, за да се активира кое е по-бързо, 2 използва стойностите по подразбиране и с резервно копие на DNS, 3 използва само DoH и 4 е да се използва огледален режим, в който DoH и DNS се използват паралелно .