Firefox-Entwickler haben veröffentlicht durch eine Werbung die Aufnahme des Modus Standard-DNS über HTTPS (DoH) für Benutzer in den USA. Ab heute DoH Es ist standardmäßig bei allen Neuinstallationen von US-Benutzern aktiviert. Für derzeitige US-Benutzer ist geplant, in einigen Wochen auf DoH umzusteigen. In der Europäischen Union und anderen Ländern planen sie immer noch nicht, DoH standardmäßig zu aktivieren.
Benutzer haben die Möglichkeit, zwischen zwei Anbietern zu wählen: Cloudflare und NextDNS, die vertrauenswürdige Löser sind. Nach der Aktivierung von DoH erhalten sie eine Warnung, mit der der Benutzer den Zugriff auf die zentralisierten DoH-DNS-Server deaktivieren und zum herkömmlichen Schema zurückkehren kann, um unverschlüsselte Anforderungen an den DNS-Server des Anbieters zu senden.
Anstelle einer verteilten Infrastruktur von DNS-Resolvern DoH verwendet einen Link zu einem bestimmten DoH-Dienst, die als ein einziger Fehlerpunkt betrachtet werden kann. Der Job wird derzeit über zwei DNS-Anbieter angeboten: CloudFlare (Standard) und NextDNS.
Das Verschlüsseln von DNS-Daten mit DoH ist nur der erste Schritt. Für Mozilla Wenn Unternehmen, die mit diesen Daten umgehen, Regeln festlegen müssen, wie sie im TRR-Programm beschrieben sind, wird sichergestellt, dass der Zugriff auf diese Daten nicht missbraucht wird. Daher ist es ein Muss.
"Für die meisten Benutzer ist es sehr schwierig zu wissen, wohin ihre DNS-Anforderungen gehen und was der Resolver mit ihnen macht", sagte Eric Rescorla, CTO von Firefox. "Mit dem Firefox Trusted Recursive Resolver-Programm kann Mozilla in seinem Namen mit Anbietern verhandeln und von ihnen strenge Datenschutzrichtlinien verlangen, bevor sie Ihre DNS-Daten verarbeiten." Wir freuen uns sehr, dass NextDNS mit uns zusammenarbeitet, um Menschen dabei zu helfen, die Kontrolle über ihre Daten und den Datenschutz online wiederzugewinnen. "
Der Verlag ist davon überzeugt, dass durch die Kombination der richtigen Technologie (DoH in diesem Fall) und strenge betriebliche Anforderungen Finden Sie für diejenigen, die es implementieren, gute Partner und schließen Sie rechtliche Vereinbarungen, die standardmäßig den Datenschutz priorisieren Dies verbessert die Privatsphäre der Benutzer.
Es ist wichtig, sich daran zu erinnern, dass DoH kann nützlich sein, um Informationslecks zu beseitigen auf den Hostnamen, die über die DNS-Server der Anbieter angefordert werden, Bekämpfen Sie MITM-Angriffe und ersetzen Sie den DNS-Verkehr (zum Beispiel beim Herstellen einer Verbindung zu öffentlichem WLAN) und gegen das Blockieren von DNS (DoH) kann ein VPN im Bereich der Vermeidung implementierter Blockierungen auf DPI-Ebene nicht ersetzen) oder die Arbeit zu organisieren, wenn es nicht möglich ist, direkt auf DNS zuzugreifen Server (zum Beispiel, wenn Sie über einen Proxy arbeiten).
Wenn in normalen Situationen DNS-Abfragen direkt an die in der Systemkonfiguration definierten DNS-Server gesendet werden, wird im Fall von DoH die Anforderung zum Ermitteln der IP-Adresse des Hosts im HTTPS-Verkehr gekapselt und an den Server-HTTP gesendet, in dem die Resolver verarbeitet Anforderungen über die Web-API. Der vorhandene DNSSEC-Standard verwendet die Verschlüsselung nur für die Client- und Serverauthentifizierung.
Die Verwendung von DoH kann Probleme in Bereichen wie Kindersicherungssystemen verursachen. Zugriff auf interne Namespaces in Unternehmenssystemen, Pfadauswahl in Systemen zur Optimierung der Inhaltsbereitstellung und Einhaltung von Gerichtsbeschlüssen zur Bekämpfung der Verbreitung illegaler Inhalte und der Ausbeutung von Minderjährigen.
Um solche Probleme zu umgehen, wurde ein Verifizierungssystem implementiert und getestet, das DoH unter bestimmten Bedingungen automatisch deaktiviert.
Das Ändern oder Deaktivieren des DoH-Providers kann in der Konfiguration der Netzwerkverbindung erfolgen. Beispielsweise können Sie in about: config einen alternativen DoH-Server für den Zugriff auf Google-Server angeben.
Der Wert 0 wird vollständig deaktiviert, während 1 verwendet wird, um zu aktivieren, was schneller ist, 2 die Standardwerte verwendet und bei Backup-DNS 3 nur DoH verwendet und 4 einen Spiegelmodus verwendet, in dem DoH und DNS parallel verwendet werden .