Programeri Firefoxa objavili su putem oglasa uključivanje načina Zadani DNS preko HTTPS-a (DoH) za korisnike u Sjedinjenim Državama. Od danas, DoH omogućen je prema zadanim postavkama na svim novim instalacijama američkih korisnika. dok je za trenutne korisnike u SAD-u predviđen prelazak na DoH za nekoliko tjedana. U Europskoj uniji i drugim zemljama još uvijek ne planiraju aktivirati DoH prema zadanim postavkama.
Korisnici imaju mogućnost izbora između dva davatelja usluga: Cloudflare i NextDNS, koji su pouzdani rješavači. Nakon što aktiviraju DoH, primit će upozorenje koje korisniku omogućuje odbijanje pristupa centraliziranim DoH DNS poslužiteljima i vraćanje na tradicionalnu shemu za slanje nešifriranih zahtjeva na DNS poslužitelj davatelja usluge.
Umjesto distribuirane infrastrukture DNS rješavača, DoH koristi vezu na određenu DoH uslugu, što se može smatrati jednom točkom neuspjeha. Posao se trenutno nudi putem dva DNS davatelja usluga: CloudFlare (zadano) i NextDNS.
Šifriranje DNS podataka s DoH-om samo je prvi korak. Za Mozillu, zahtijevajući od tvrtki koje obrađuju ove podatke da imaju utvrđena pravila, poput onih opisanih u programu TRR, osigurava da se pristup tim podacima ne zloupotrijebi. Stoga je to neophodno.
"Za većinu korisnika vrlo je teško znati kamo idu njihovi DNS zahtjevi i što razlučivač radi s njima", rekao je Eric Rescorla, direktor tehničke zaštite za Firefox. "Program Firefox Trusted Recursive Resolver omogućuje Mozilli da u njegovo ime pregovara s dobavljačima i zahtijeva da imaju stroga pravila o privatnosti prije nego što obrade vaše DNS podatke." Oduševljeni smo što NextDNS surađuje s nama dok radimo na tome da ljudi povrate kontrolu nad svojim podacima i privatnošću na mreži. "
Izdavač je uvjeren da kombinirajući pravu tehnologiju (DoH u ovom slučaju) i strogi operativni zahtjevi za one koji ga primjenjuju, prema zadanim postavkama pronalaze dobre partnere i uspostavljaju pravne sporazume koji daju prednost privatnosti poboljšat će privatnost korisnika.
Važno je to zapamtiti DoH može biti koristan za uklanjanje curenja informacija na imenima hostova traženim putem DNS poslužitelja davatelja usluga, boriti se protiv MITM napada i zamijeniti DNS promet (na primjer, prilikom povezivanja na javni Wi-Fi) i suprotstavljanje blokiranju DNS-a (DoH) ne može zamijeniti VPN u području zaobilaženja implementiranih blokova na razini DPI-a) ili organizirati rad ako je nemoguće izravno pristupiti DNS-u poslužitelje (na primjer, kada radite preko proxyja).
Ako se u normalnim situacijama DNS upiti šalju izravno DNS poslužiteljima definiranim u konfiguraciji sustava, tada se u slučaju DoH zahtjev za određivanjem IP adrese hosta inkapsulira u HTTPS promet i šalje HTTP poslužitelju u kojem se rješivač obrađuje zahtjeve putem web API-ja. Postojeći DNSSEC standard koristi šifriranje samo za provjeru autentičnosti klijenta i poslužitelja.
Korištenje DoH može uzrokovati probleme u područjima kao što su sustavi roditeljske kontrole, pristup internim prostorima imena u korporacijskim sustavima, odabir puta u sustavima za optimizaciju isporuke sadržaja i poštivanje sudskih naloga za borbu protiv širenja ilegalnog sadržaja i iskorištavanja maloljetnika.
Da bi se zaobišli takvi problemi, implementiran je i testiran sustav provjere koji automatski onemogućuje DoH pod određenim uvjetima.
Da biste izvršili promjenu ili deaktiviranje DoH davatelja usluga, možete biti u konfiguraciji mrežne veze. Na primjer, možete odrediti zamjenski DoH poslužitelj za pristup Googleovim poslužiteljima u oko: config.
Vrijednost 0 potpuno onemogućava, dok se 1 koristi za omogućavanje onoga što je brže, 2 koristi zadane vrijednosti, a uz sigurnosnu kopiju DNS-a, 3 koristi samo DoH, a 4 koristi zrcalni način u kojem se DoH i DNS koriste paralelno .