A Firefox fejlesztői kiadták reklám útján a mód felvétele Alapértelmezett DNS HTTPS-en keresztül (DoH) az Egyesült Államok felhasználói számára. Mától DoH alapértelmezés szerint engedélyezve van minden új telepítésnél, amelyet az USA-felhasználók használnak. mivel a jelenlegi amerikai felhasználók számára a tervek szerint néhány héten belül áttérnek a DoH-ra. Az Európai Unióban és más országokban továbbra sem tervezik alapértelmezés szerint a DoH aktiválását.
A felhasználók két szolgáltató közül választhatnak: Cloudflare és NextDNS, amelyek megbízható megoldók. Miután aktiválta a DoH-t, figyelmeztetést kap, amely lehetővé teszi a felhasználó számára, hogy letiltsa a központi DoH DNS-kiszolgálók elérését, és visszatérjen a hagyományos sémához, és titkosítatlan kéréseket küldjön a szolgáltató DNS-kiszolgálójának.
A DNS-megoldók elosztott infrastruktúrája helyett A DoH hivatkozást használ egy adott DoH szolgáltatásra, amely egyetlen kudarcpontnak tekinthető. A munkát jelenleg két DNS-szolgáltató kínálja: CloudFlare (alapértelmezett) és NextDNS.
A DNS-adatok DoH-val történő titkosítása csak az első lépés. A Mozilla esetében ha az ilyen adatokat kezelő vállalatoktól olyan szabályokat kell kialakítani, mint amilyeneket a TRR program ismertet, akkor az adatokhoz való hozzáférést nem élik vissza. Ezért kötelező.
"A legtöbb felhasználó számára nagyon nehéz megtudni, hová tartanak DNS-kérelmeik, és mit csinál velük a felbontó" - mondta Eric Rescorla, a Firefox CTO-ja. "A Firefox Trusted Recursive Resolver program lehetővé teszi a Mozilla számára, hogy a nevében tárgyaljon a gyártókkal, és szigorú adatvédelmi irányelveket követel meg tőlük, mielőtt kezelné a DNS-adatait." Örülünk, hogy a NextDNS együttműködik velünk munkánk során, hogy segítsünk az embereknek visszanyerni az adatok és az adatvédelem online irányítását.
A kiadó meggyőződése, hogy a megfelelő technológia ötvözésével (DoH ebben az esetben) és szigorú működési követelmények azok számára, akik ezt megvalósítják, jó partnereket kell találniuk, és olyan jogi megállapodásokat kell kötniük, amelyek alapértelmezés szerint prioritást élveznek a magánélet tekintetében javítani fogja a felhasználók magánéletét.
Fontos emlékezni erre A DoH hasznos lehet az információszivárgások kiküszöbölésére a szolgáltatók DNS-kiszolgálóin keresztül kért gazdagépneveken, harcoljon a MITM támadások ellen és cserélje ki a DNS forgalmat (például nyilvános Wi-Fi-hálózathoz való csatlakozáskor) és a DNS (DoH) blokkolásának megakadályozása nem helyettesítheti a VPN-t a DPI-szintű megvalósított blokkok elkerülése területén), vagy nem szervezheti meg a munkát, ha lehetetlen közvetlenül hozzáférni a DNS-hez szerverek (például ha proxyn keresztül dolgozunk).
Ha normál esetben a DNS-lekérdezéseket közvetlenül a rendszerkonfigurációban meghatározott DNS-kiszolgálóknak küldik, akkor a DoH esetében a gazdagép IP-címének meghatározására vonatkozó kérés be van zárva a HTTPS-forgalomba, és elküldésre kerül annak a HTTP-kiszolgálónak, amelyben a megoldó a kérelmeket a webes API-n keresztül dolgozza fel. A meglévő DNSSEC szabvány csak az ügyfél és a kiszolgáló hitelesítéséhez használ titkosítást.
A DoH használata problémákat okozhat olyan területeken, mint a szülői felügyeleti rendszerek, hozzáférés a vállalati rendszerek belső névteréhez, útválasztás a tartalomszolgáltatás optimalizáló rendszerekben valamint az illegális tartalom terjedése és a kiskorúak kizsákmányolása elleni küzdelemre vonatkozó bírósági végzések betartása.
Az ilyen problémák kiküszöbölésére olyan ellenőrző rendszert vezettek be és teszteltek, amely bizonyos körülmények között automatikusan letiltja a DoH-t.
A DoH-szolgáltató megváltoztatása vagy deaktiválása a hálózati kapcsolat konfigurációjában történhet. Például megadhat egy alternatív DoH-kiszolgálót a Google-szerverek eléréséhez a about: config fájlban.
A 0 értéke teljesen letiltja, míg az 1 értéket a gyorsabb engedélyezésére használják, a 2 az alapértelmezett értékeket használja, a tartalék DNS-sel pedig a 3 csak a DoH-t használja, a 4 pedig a tükör módot használja, amelyben a DoH és a DNS párhuzamosan használatos .