Programeri Firefoxa su objavili putem oglasa uključivanje načina Zadani DNS preko HTTPS-a (DoH) za korisnike u Sjedinjenim Državama. Od danas, DoH omogućen je po defaultu na svim novim instalacijama američkih korisnika. dok je za trenutne američke korisnike predviđeno da pređu na DoH za nekoliko tjedana. U Europskoj uniji i drugim zemljama još uvijek ne planiraju aktivirati DoH prema zadanim postavkama.
Korisnici imaju mogućnost izbora između dva dobavljača: Cloudflare i NextDNS, koji su pouzdani rješavači. Nakon što aktiviraju DoH, primit će upozorenje koje omogućava korisniku da onemogući pristup centraliziranim DoH DNS poslužiteljima i vrati se na tradicionalnu shemu za slanje nešifriranih zahtjeva na DNS poslužitelj dobavljača.
Umjesto distribuirane infrastrukture DNS rješavača, DoH koristi vezu do određene DoH usluge, što se može smatrati jednom točkom neuspjeha. Posao se trenutno nudi putem dva DNS dobavljača: CloudFlare (zadano) i NextDNS.
Šifriranje DNS podataka pomoću DoH-a samo je prvi korak. Za Mozillu, zahtijevajući od kompanija koje obrađuju ove podatke da imaju uspostavljena pravila, poput onih opisanih u programu TRR, osigurava da se pristup tim podacima ne zloupotrebljava. Stoga je to neophodno.
"Za većinu korisnika vrlo je teško znati kamo idu njihovi DNS zahtjevi i što razlučivač radi s njima," rekao je Eric Rescorla, direktor tehničke službe za Firefox. "Program Firefox Trusted Recursive Resolver omogućava Mozilli da pregovara s dobavljačima u njegovo ime i zahtijeva da imaju stroge politike privatnosti prije nego što obrade vaše DNS podatke." Oduševljeni smo što NextDNS sarađuje s nama dok radimo na tome da ljudi povrate kontrolu nad svojim podacima i privatnošću na mreži. "
Izdavač je uvjeren da kombinirajući pravu tehnologiju (DoH u ovom slučaju) i strogi operativni zahtjevi za one koji ga primjenjuju, pronalaze dobre partnere i uspostavljaju pravne sporazume koji prioritet daju privatnosti poboljšaće privatnost korisnika.
Važno je to zapamtiti DoH može biti koristan za uklanjanje curenja informacija na imenima hostova traženim putem DNS servera dobavljača, boriti se protiv MITM napada i zamijeniti DNS promet (na primjer, prilikom povezivanja na javni Wi-Fi) i suprotstavljanje blokiranja DNS-a (DoH) ne može zamijeniti VPN u području izbjegavanja implementiranih blokova na DPI nivou) ili organizirati rad ako je nemoguće izravno pristupiti DNS-u servere (na primjer, kada radite preko proxyja).
Ako se u normalnim situacijama DNS upiti šalju izravno DNS poslužiteljima definiranim u konfiguraciji sistema, tada je u slučaju DoH zahtjev za određivanjem IP adrese hosta enkapsuliran u HTTPS promet i poslan na HTTP poslužitelja u kojem je rješivač obrađuje zahtjeve putem web API-ja. Postojeći DNSSEC standard koristi šifriranje samo za provjeru autentičnosti klijenta i poslužitelja.
Upotreba DoH može stvoriti probleme u područjima kao što su sistemi roditeljske kontrole, pristup internim prostorima imena u korporativnim sistemima, izbor putanje u sistemima za optimizaciju isporuke sadržaja i poštivanje sudskih naloga za borbu protiv širenja ilegalnog sadržaja i eksploatacije maloljetnika.
Da bi se zaobišli takvi problemi, implementiran je i testiran sistem provjere koji automatski onemogućava DoH pod određenim uvjetima.
Da biste izvršili promjenu ili deaktiviranje DoH provajdera, možete biti u konfiguraciji mrežne veze. Na primjer, možete odrediti zamjenski DoH poslužitelj za pristup Googleovim serverima u oko: config.
Vrijednost 0 potpuno onemogućava, dok se 1 koristi za omogućavanje onoga što je brže, 2 koristi zadane vrijednosti, a uz sigurnosnu kopiju DNS-a, 3 koristi samo DoH, a 4 koristi zrcalni način u kojem se DoH i DNS koriste paralelno .