Els desenvolupadors del Firefox han donat a conèixer mitjançant un anunci la inclusió de la manera DNS predeterminat sobre HTTPS (DOH) per a usuaris dels Estats Units. A partir d'avui, Doh s'activa per defecte en totes les instal·lacions noves realitzades per usuaris dels EUA mentre que per als usuaris actuals d'EE. UU. estan programats per canviar a Doh en unes poques setmanes. A la Unió Europea i altres països, encara no planegen activar Doh per defecte.
Els usuaris tenen l'opció de triar entre dos proveïdors: Cloudflare i NextDNS, Els quals són solucionadors de confiança. Després que activin Doh, rebran un advertiment que li permet a l'usuari optar per no accedir als servidors Doh DNS centralitzats i tornar a l'esquema tradicional per enviar sol·licituds no encriptades a servidor DNS de proveïdor.
En lloc d'una infraestructura distribuïda de solucionadors de DNS, DOH utilitza un enllaç a un servei Doh específic, Que pot considerar-se com un únic punt de falla. Actualment, el treball s'ofereix a través de dos proveïdors de DNS: CloudFlare (per defecte) i NextDNS.
Xifrar dades DNS amb Doh és només el primer pas. Per Mozilla, exigir a les companyies que manegen aquestes dades que tinguin regles establertes, com les descrites al programa TRR, assegura que no s'abusi de l'accés a aquestes dades. Per tant, és una necessitat.
«Per a la majoria dels usuaris, és molt difícil saber on van les seves sol·licituds de DNS i què està fent el solucionador amb ells», va dir Eric Rescorla, CTO de Firefox. «El programa Firefox Trusted Recursive Resoldre li permet a Mozilla negociar amb els proveïdors en el seu nom i exigir-los que tinguin polítiques de privacitat estrictes abans de gestionar les seves dades DNS». Estem encantats que NextDNS s'associï amb nosaltres en el nostre treball perquè les persones recuperin el control de les seves dades i privacitat en línia ".
L'editor està convençut que a l'combinar la tecnologia adequada (DOH en aquest cas) i els estrictes requisits operatius per als que la implementen, trobar bons socis i establir acords legals que donin prioritat a privacitat, per defecte millorarà la privacitat de l'usuari.
És important recordar que DOH pot ser útil per eliminar fuites d'informació sobre els noms de sistema principal sol·licitats a través dels servidors DNS dels proveïdors, combatre els atacs MITM i reemplaçar el trànsit DNS (Per exemple, quan es connecta a Wi-Fi públic) i oposar-se a el bloqueig de DNS (DOH) no pot reemplaçar una VPN en l'àrea d'evitar bloquejos implementats en el nivell DPI) o per organitzar la feina si és impossible accedir directament a els servidors DNS (per exemple, quan es treballa a través d'un servidor intermediari).
Si en situacions normals, les consultes DNS s'envien directament als servidors DNS definits en la configuració de sistema, llavors, en el cas de Doh, la sol·licitud per determinar l'adreça IP de l'host s'encapsula en el tràfic HTTPS i s'envia a l'servidor HTTP en què el resolutor processa les sol·licituds a través de l'API web. L'estàndard DNSSEC existent fa servir encriptació només per a l'autenticació de clients i servidors.
L'ús d'Doh pot generar problemes en àrees com ara sistemes de control parental, accés a espais de noms interns en sistemes corporatius, selecció de rutes en sistemes d'optimització de lliurament de contingut i compliment d'ordres judicials per combatre la propagació de contingut il · legal i l'explotació de menors.
Per sortejar aquests problemes, s'ha implementat i provat un sistema de verificacions que deshabilita automàticament Doh sota certes condicions.
Per realitzar el canvi o desactivació de l'proveïdor Doh poden ser en la configuració de la connexió de xarxa. Per exemple, es pot especificar un servidor Doh alternatiu per accedir als servidors de Google, a about: config.
El valor de 0 inhabilita completament, mentre que 1 s'utilitza per habilitar el que sigui més ràpid, 2 usa els valors predeterminats i amb DNS de respatller, 3 només s'usa Doh i 4 és per a usar una manera de reflex en el qual Doh i DNS s'usen en paral·lel.