Vývojáři Firefoxu vydali prostřednictvím reklamy zahrnutí režimu Výchozí DNS přes HTTPS (DoH) pro uživatele ve Spojených státech. Od dnešního dne DoH ve výchozím nastavení je povoleno u všech nových instalací uživateli v USA. zatímco pro současné uživatele z USA je naplánováno přechod na DoH za několik týdnů. V Evropské unii a dalších zemích neplánují aktivovat DoH ve výchozím nastavení.
Uživatelé mají možnost vybrat si mezi dvěma poskytovateli: Cloudflare a NextDNS, což jsou důvěryhodní řešitelé. Poté, co aktivují DoH, obdrží varování umožňující uživateli odhlásit se z přístupu k centralizovaným serverům DNS DoH a vrátit se k tradičnímu schématu odesílání nezašifrovaných požadavků na server DNS poskytovatele.
Místo distribuované infrastruktury překladačů DNS DoH používá odkaz na konkrétní službu DoH, což lze považovat za jediný bod selhání. Úloha je aktuálně nabízena prostřednictvím dvou poskytovatelů DNS: CloudFlare (výchozí) a NextDNS.
Šifrování dat DNS pomocí DoH je jen první krok. Pro Mozillu, požadavek, aby společnosti, které s těmito údaji zacházejí, měly zavedená pravidla, jako jsou pravidla popsaná v programu TRR, zajišťují, že přístup k těmto údajům nebude zneužit. Proto je nutností.
„Pro většinu uživatelů je velmi obtížné vědět, kam směřují jejich požadavky na DNS a co s nimi resolver dělá,“ řekl Eric Rescorla, CTO Firefoxu. „Program Trusted Recursive Resolver prohlížeče Firefox umožňuje společnosti Mozilla vyjednávat s dodavateli jejím jménem a vyžadovat, aby před zpracováním vašich údajů DNS měli přísné zásady ochrany osobních údajů.“ Jsme rádi, že NextDNS s námi uzavírá partnerství, protože pracujeme na tom, aby lidé znovu získali kontrolu nad svými údaji a ochranou soukromí online. “
Vydavatel je přesvědčen, že kombinací správné technologie (DoH v tomto případě) a přísné provozní požadavky pro ty, kteří to implementují, najděte dobré partnery a uzavřete právní dohody, které upřednostňují soukromí, ve výchozím nastavení zlepší soukromí uživatelů.
Je důležité si uvědomit, že DoH může být užitečné k eliminaci úniku informací na jménech hostitelů požadovaných prostřednictvím serverů DNS poskytovatelů, bojovat proti útokům MITM a nahradit provoz DNS (například při připojení k veřejné Wi-Fi) a proti blokování DNS (DoH) nelze nahradit VPN v oblasti obejít implementované bloky na úrovni DPI) nebo organizovat práci, pokud není možné přímo přistupovat k DNS servery (například při práci prostřednictvím serveru proxy).
Pokud jsou v normálních situacích dotazy DNS odesílány přímo na servery DNS definované v konfiguraci systému, pak je v případě DoH požadavek na určení adresy IP hostitele zapouzdřen v provozu HTTPS a odeslán na server HTTP, ve kterém resolver zpracovává požadavky prostřednictvím webového API. Stávající standard DNSSEC používá šifrování pouze pro ověření klienta a serveru.
Použití DoH může způsobit problémy v oblastech, jako jsou systémy rodičovské kontroly, přístup k interním jmenným prostorům v podnikových systémech, výběr cesty v systémech optimalizace doručování obsahu a dodržování soudních příkazů v boji proti šíření nezákonného obsahu a vykořisťování nezletilých.
Aby se tyto problémy obešly, byl implementován a testován ověřovací systém, který za určitých podmínek automaticky deaktivuje DoH.
Chcete-li provést změnu nebo deaktivaci poskytovatele DoH, můžete provést konfiguraci síťového připojení. Například můžete zadat alternativní server DoH pro přístup k serverům Google v části: config.
Hodnota 0 úplně zakáže, zatímco 1 se používá k povolení toho, co je rychlejší, 2 používá výchozí hodnoty a se záložním DNS, 3 používá pouze DoH a 4 používá zrcadlový režim, ve kterém se DoH a DNS používají paralelně .