Οι προγραμματιστές του Firefox έχουν κυκλοφορήσει μέσω μιας διαφήμισης η συμπερίληψη της λειτουργίας Προεπιλεγμένο DNS μέσω HTTPS (DoH) για χρήστες στις Ηνωμένες Πολιτείες. Από σήμερα, DoH Είναι ενεργοποιημένη από προεπιλογή σε όλες τις νέες εγκαταστάσεις από χρήστες των ΗΠΑ. λαμβάνοντας υπόψη ότι για τους τρέχοντες χρήστες των ΗΠΑ έχουν προγραμματιστεί να αλλάξουν σε DoH σε λίγες εβδομάδες. Στην Ευρωπαϊκή Ένωση και σε άλλες χώρες, εξακολουθούν να μην σχεδιάζουν να ενεργοποιήσουν το DoH από προεπιλογή.
Οι χρήστες έχουν τη δυνατότητα να επιλέξουν μεταξύ δύο παρόχων: Cloudflare και NextDNS, οι οποίοι είναι αξιόπιστοι επιλυτές. Αφού ενεργοποιήσουν το DoH, θα λάβουν μια προειδοποίηση που θα επιτρέπει στον χρήστη να εξαιρεθεί από την πρόσβαση στους κεντρικούς διακομιστές DNS DoH και να επιστρέψει στο παραδοσιακό σχήμα για να στείλει μη κρυπτογραφημένα αιτήματα στον διακομιστή DNS του παρόχου.
Αντί για κατανεμημένη υποδομή επιλυτών DNS, Το DoH χρησιμοποιεί έναν σύνδεσμο για μια συγκεκριμένη υπηρεσία DoH, το οποίο μπορεί να θεωρηθεί ως ένα μόνο σημείο αποτυχίας. Η εργασία αυτή τη στιγμή προσφέρεται μέσω δύο παρόχων DNS: CloudFlare (προεπιλογή) και NextDNS.
Η κρυπτογράφηση δεδομένων DNS με DoH είναι μόνο το πρώτο βήμα. Για τη Mozilla, απαιτώντας από εταιρείες που χειρίζονται αυτά τα δεδομένα να έχουν θεσπίσει κανόνες, όπως εκείνοι που περιγράφονται στο πρόγραμμα TRR, διασφαλίζει ότι δεν γίνεται κατάχρηση της πρόσβασης σε αυτά τα δεδομένα. Επομένως, είναι απαραίτητο.
"Για τους περισσότερους χρήστες, είναι πολύ δύσκολο να γνωρίζουμε πού πηγαίνουν τα αιτήματά τους DNS και τι κάνει με το πρόγραμμα επίλυσης", δήλωσε ο Eric Rescorla, Firefox CTO. "Το πρόγραμμα Firefox Trusted Recursive Resolver επιτρέπει στη Mozilla να διαπραγματεύεται με προμηθευτές εκ μέρους της και να απαιτεί από αυτούς να έχουν αυστηρές πολιτικές απορρήτου πριν χειριστούν τα δεδομένα DNS σας." Είμαστε χαρούμενοι που το NextDNS συνεργάζεται μαζί μας στην εργασία μας για να ανακτήσει τον έλεγχο των δεδομένων και του απορρήτου τους στο διαδίκτυο. "
Ο εκδότης είναι πεπεισμένος ότι συνδυάζοντας τη σωστή τεχνολογία (DoH σε αυτήν την περίπτωση) και αυστηρές επιχειρησιακές απαιτήσεις για όσους το εφαρμόζουν, βρίσκουν καλούς συνεργάτες και συνάπτουν νομικές συμφωνίες που δίνουν προτεραιότητα στην ιδιωτική ζωή, από προεπιλογή θα βελτιώσει το απόρρητο των χρηστών.
Είναι σημαντικό να θυμόμαστε ότι Το DoH μπορεί να είναι χρήσιμο για την εξάλειψη των διαρροών πληροφοριών στα ονόματα κεντρικών υπολογιστών που ζητούνται μέσω των διακομιστών DNS των παρόχων, καταπολέμηση επιθέσεων MITM και αντικατάσταση κίνησης DNS (για παράδειγμα, κατά τη σύνδεση σε δημόσιο Wi-Fi) και το αντίθετο DNS (DoH), ο αποκλεισμός δεν μπορεί να αντικαταστήσει ένα VPN στην περιοχή αποφυγής υλοποιημένων μπλοκ σε επίπεδο DPI) ή να οργανώσει εργασίες εάν είναι αδύνατο να έχει άμεση πρόσβαση στο DNS διακομιστές (για παράδειγμα, όταν εργάζεστε μέσω διακομιστή μεσολάβησης).
Εάν σε κανονικές καταστάσεις, τα ερωτήματα DNS αποστέλλονται απευθείας στους διακομιστές DNS που ορίζονται στη διαμόρφωση του συστήματος, τότε στην περίπτωση του DoH, το αίτημα για προσδιορισμό της διεύθυνσης IP του κεντρικού υπολογιστή ενσωματώνεται στην κίνηση HTTPS και αποστέλλεται στον διακομιστή HTTP στον οποίο Το resolver επεξεργάζεται αιτήματα μέσω του διαδικτυακού API. Το υπάρχον πρότυπο DNSSEC χρησιμοποιεί κρυπτογράφηση μόνο για έλεγχο ταυτότητας πελάτη και διακομιστή.
Η χρήση του DoH μπορεί να προκαλέσει προβλήματα σε τομείς όπως τα συστήματα γονικού ελέγχου, πρόσβαση σε εσωτερικούς χώρους ονομάτων σε εταιρικά συστήματα, επιλογή διαδρομής σε συστήματα βελτιστοποίησης παράδοσης περιεχομένου και συμμόρφωση με δικαστικές εντολές για την καταπολέμηση της διάδοσης παράνομου περιεχομένου και της εκμετάλλευσης ανηλίκων.
Για την αντιμετώπιση τέτοιων προβλημάτων, έχει εφαρμοστεί και δοκιμαστεί ένα σύστημα επαλήθευσης που απενεργοποιεί αυτόματα το DoH υπό ορισμένες συνθήκες.
Για να κάνετε την αλλαγή ή την απενεργοποίηση του παρόχου DoH μπορεί να είναι στη διαμόρφωση της σύνδεσης δικτύου. Για παράδειγμα, μπορείτε να καθορίσετε έναν εναλλακτικό διακομιστή DoH για πρόσβαση σε διακομιστές Google, στο about: config.
Η τιμή του 0 απενεργοποιεί εντελώς, ενώ το 1 χρησιμοποιείται για να ενεργοποιήσει όποιο είναι πιο γρήγορο, το 2 χρησιμοποιεί τις προεπιλεγμένες τιμές και με το εφεδρικό DNS, το 3 χρησιμοποιεί μόνο το DoH και το 4 είναι να χρησιμοποιήσει μια λειτουργία καθρέφτη στην οποία τα DoH και DNS χρησιμοποιούνται παράλληλα .