Les développeurs de Firefox ont publié à travers une publicité l'inclusion du mode DNS par défaut sur HTTPS (DoH) pour les utilisateurs aux États-Unis. À partir d'aujourd'hui, DoH il est activé par défaut sur toutes les nouvelles installations par les utilisateurs américains. alors que pour les utilisateurs américains actuels, ils devraient passer au DoH dans quelques semaines. Dans l'Union européenne et dans d'autres pays, ils n'envisagent toujours pas d'activer DoH par défaut.
Les utilisateurs ont la possibilité de choisir entre deux fournisseurs: Cloudflare et NextDNS, qui sont des solveurs de confiance. Après avoir activé DoH, ils recevront un avertissement permettant à l'utilisateur de refuser d'accéder aux serveurs DNS DoH centralisés et de revenir au schéma traditionnel pour envoyer des demandes non chiffrées au serveur DNS du fournisseur.
Au lieu d'une infrastructure distribuée de résolveurs DNS, DoH utilise un lien vers un service DoH spécifique, qui peut être considéré comme un point de défaillance unique. Le poste est actuellement proposé via deux fournisseurs DNS: CloudFlare (par défaut) et NextDNS.
Le chiffrement des données DNS avec DoH n'est que la première étape. Pour Mozilla, exiger que les entreprises qui traitent ces données aient des règles établies, telles que celles décrites dans le programme RTR, garantit que l'accès à ces données ne sera pas abusé. C'est donc un must.
«Pour la plupart des utilisateurs, il est très difficile de savoir où vont leurs requêtes DNS et ce que le résolveur en fait», a déclaré Eric Rescorla, directeur technique de Firefox. «Le programme Firefox Trusted Recursive Resolver permet à Mozilla de négocier avec les fournisseurs en son nom et de leur demander d'avoir des politiques de confidentialité strictes avant de traiter vos données DNS. Nous sommes ravis que NextDNS s'associe à nous dans notre travail pour aider les gens à reprendre le contrôle de leurs données et de leur confidentialité en ligne. "
L'éditeur est convaincu qu'en combinant la bonne technologie (DoH dans ce cas) et des exigences opérationnelles strictes pour ceux qui le mettent en œuvre, trouvent de bons partenaires et établissent des accords juridiques qui donnent la priorité à la confidentialité, par défaut cela améliorera la confidentialité des utilisateurs.
Il est important de se rappeler que DoH peut être utile pour éliminer les fuites d'informations sur les noms d'hôte demandés via les serveurs DNS des fournisseurs, combattre les attaques MITM et remplacer le trafic DNS (par exemple, lors de la connexion au Wi-Fi public) et s'opposer au blocage DNS (DoH) ne peut pas remplacer un VPN dans le domaine du contournement des blocs implémentés au niveau DPI) ou pour organiser le travail s'il est impossible d'accéder directement au DNS serveurs (par exemple, lorsque vous travaillez via un proxy).
Si dans des situations normales, les requêtes DNS sont envoyées directement aux serveurs DNS définis dans la configuration du système, alors dans le cas de DoH, la demande de détermination de l'adresse IP de l'hôte est encapsulée dans le trafic HTTPS et envoyée au serveur HTTP dans lequel le le résolveur traite les demandes via l'API Web. La norme DNSSEC existante utilise le cryptage uniquement pour l'authentification client et serveur.
L'utilisation de DoH peut poser des problèmes dans des domaines tels que les systèmes de contrôle parental, accès aux espaces de noms internes dans les systèmes d'entreprise, sélection de chemin dans les systèmes d'optimisation de la diffusion de contenu et le respect des ordonnances des tribunaux pour lutter contre la diffusion de contenus illégaux et l'exploitation des mineurs.
Pour contourner ces problèmes, un système de vérification a été mis en place et testé qui désactive automatiquement DoH dans certaines conditions.
Pour effectuer le changement ou la désactivation du fournisseur DoH peut être dans la configuration de la connexion réseau. Par exemple, vous pouvez spécifier un autre serveur DoH pour accéder aux serveurs Google, dans about: config.
La valeur 0 désactive complètement, tandis que 1 est utilisé pour activer celui qui est le plus rapide, 2 utilise les valeurs par défaut et avec le DNS de sauvegarde, 3 n'utilise que DoH et 4 consiste à utiliser un mode miroir dans lequel DoH et DNS sont utilisés en parallèle .