Firefox-udviklere har frigivet gennem en annonce inddragelse af tilstanden Standard DNS over HTTPS (DoH) for brugere i USA. Fra i dag, DoH det er som standard aktiveret på alle nye installationer af amerikanske brugere. der henviser til, at for nuværende amerikanske brugere er de planlagt til at skifte til DoH om et par uger. I EU og andre lande planlægger de stadig ikke at aktivere DoH som standard.
Brugere har mulighed for at vælge mellem to udbydere: Cloudflare og NextDNS, som er tillid til løsere. Når de har aktiveret DoH, modtager de en advarsel, der giver brugeren mulighed for at fravælge adgang til de centraliserede DoH DNS-servere og vende tilbage til den traditionelle ordning for at sende ukrypterede anmodninger til udbyderens DNS-server.
I stedet for en distribueret infrastruktur af DNS-opløsere, DoH bruger et link til en bestemt DoH-tjeneste, som kan betragtes som et enkelt fejlpunkt. Jobbet tilbydes i øjeblikket gennem to DNS-udbydere: CloudFlare (standard) og NextDNS.
Kryptering af DNS-data med DoH er kun det første trin. For Mozilla, at kræve, at virksomheder, der håndterer disse data, har etablerede regler, såsom dem der er beskrevet i TRR-programmet, sikrer, at adgang til disse data ikke misbruges. Derfor er det et must.
"For de fleste brugere er det meget vanskeligt at vide, hvor deres DNS-anmodninger skal hen, og hvad resolver gør med dem," sagde Eric Rescorla, Firefox CTO. "Firefox Trusted Recursive Resolver-programmet giver Mozilla mulighed for at forhandle med leverandører på dets vegne og kræve, at de har strenge privatlivspolitikker, før de håndterer dine DNS-data." Vi er glade for, at NextDNS samarbejder med os, da vi arbejder for, at folk genvinder kontrollen over deres data og privatliv online. "
Forlaget er overbevist om det ved at kombinere den rigtige teknologi (DoH i dette tilfælde) og strenge operationelle krav for dem, der implementerer det, finder gode partnere og opretter juridiske aftaler, der prioriterer privatlivets fred som standard det vil forbedre brugernes privatliv.
Det er vigtigt at huske, at DoH kan være nyttigt for at eliminere informationslækager på værtsnavne, der anmodes om via udbydernes DNS-servere, bekæmpe MITM-angreb og erstatte DNS-trafik (for eksempel når du opretter forbindelse til offentlig Wi-Fi) og modsætter sig DNS-blokering (DoH), kan blokering ikke erstatte en VPN inden for bypass-implementerede blokke på DPI-niveau) eller at organisere arbejde, hvis det er umuligt at få direkte adgang til DNS servere (for eksempel når du arbejder gennem en proxy).
Hvis der i normale situationer sendes DNS-forespørgsler direkte til de DNS-servere, der er defineret i systemkonfigurationen, så i tilfælde af DoH, er anmodningen om at bestemme værtens IP-adresse indkapslet i HTTPS-trafikken og sendt til serveren HTTP, hvori resolver behandler anmodninger via web-API'en. Den eksisterende DNSSEC-standard bruger kun kryptering til klient- og servergodkendelse.
Brug af DoH kan forårsage problemer i områder som forældrekontrolsystemer, adgang til interne navneområder i virksomhedssystemer, stavalg i optimeringssystemer til indholdslevering og overholdelse af retskendelser for at bekæmpe spredning af ulovligt indhold og udnyttelse af mindreårige.
For at omgå sådanne problemer er der blevet implementeret og testet et verifikationssystem, der automatisk deaktiverer DoH under visse betingelser.
For at foretage ændring eller deaktivering af DoH-udbyderen kan være i konfigurationen af netværksforbindelsen. For eksempel kan du angive en alternativ DoH-server til at få adgang til Google-servere, i ca.: config.
Værdien af 0 deaktiverer fuldstændigt, mens 1 bruges til at aktivere det, der er hurtigst, 2 bruger standardværdierne og med backup-DNS, 3 bruger kun DoH og 4 er at bruge en spejltilstand, hvor DoH og DNS bruges parallelt .