Gli sviluppatori di Firefox hanno rilasciato attraverso un annuncio pubblicitario l'inclusione della modalità DNS predefinito su HTTPS (DoH) per gli utenti negli Stati Uniti. Ad oggi, DoH è abilitato per impostazione predefinita su tutte le nuove installazioni di utenti statunitensi. mentre per gli attuali utenti statunitensi è previsto il passaggio a DoH in poche settimane. Nell'Unione Europea e in altri paesi, non prevedono ancora di attivare DoH per impostazione predefinita.
Gli utenti hanno la possibilità di scegliere tra due provider: Cloudflare e NextDNS, che sono solutori affidabili. Dopo aver attivato DoH, riceveranno un avviso che consente all'utente di disattivare l'accesso ai server DNS DoH centralizzati e tornare allo schema tradizionale per inviare richieste non crittografate al server DNS del provider.
Invece di un'infrastruttura distribuita di risolutori DNS, DoH utilizza un collegamento a un servizio DoH specifico, che può essere considerato come un singolo punto di errore. Il lavoro è attualmente offerto tramite due provider DNS: CloudFlare (predefinito) e NextDNS.
La crittografia dei dati DNS con DoH è solo il primo passo. Per Mozilla, richiedere alle aziende che gestiscono questi dati di avere regole stabilite, come quelle descritte nel programma TRR, garantisce che l'accesso a questi dati non sia abusato. Pertanto, è un must.
"Per la maggior parte degli utenti, è molto difficile sapere dove stanno andando le loro richieste DNS e cosa sta facendo il risolutore", ha affermato Eric Rescorla, CTO di Firefox. "Il programma Firefox Trusted Recursive Resolver consente a Mozilla di negoziare con i fornitori per suo conto e richiede loro di disporre di rigide politiche sulla privacy prima di gestire i dati DNS". Siamo lieti che NextDNS stia collaborando con noi nel nostro lavoro per aiutare le persone a riprendere il controllo dei propri dati e della privacy online ".
L'editore è convinto che combinando la giusta tecnologia (DoH in questo caso) e rigorosi requisiti operativi per coloro che lo implementano, trovano buoni partner e stabiliscono accordi legali che danno la priorità alla privacy, per impostazione predefinita migliorerà la privacy degli utenti.
È importante ricordare che DoH può essere utile per eliminare le fughe di informazioni sui nomi host richiesti tramite i server DNS dei provider, combattere gli attacchi MITM e sostituire il traffico DNS (ad esempio, quando ci si connette a una rete Wi-Fi pubblica) e opporsi al blocco DNS (DoH) non possono sostituire una VPN nell'area di evitare blocchi implementati a livello DPI) o per organizzare il lavoro se è impossibile accedere direttamente al DNS server (ad esempio, quando si lavora tramite un proxy).
Se in situazioni normali, le query DNS vengono inviate direttamente ai server DNS definiti nella configurazione del sistema, nel caso di DoH, la richiesta per determinare l'indirizzo IP dell'host viene incapsulata nel traffico HTTPS e inviata al server HTTP in cui il il resolver elabora le richieste tramite l'API web. Lo standard DNSSEC esistente utilizza la crittografia solo per l'autenticazione del client e del server.
L'uso del DoH può causare problemi in aree come i sistemi di controllo parentale, accesso a spazi dei nomi interni nei sistemi aziendali, selezione del percorso nei sistemi di ottimizzazione della consegna dei contenuti e rispetto delle ordinanze del tribunale per combattere la diffusione di contenuti illegali e lo sfruttamento dei minori.
Per aggirare tali problemi, è stato implementato e testato un sistema di verifica che disabilita automaticamente DoH in determinate condizioni.
Per effettuare la modifica o la disattivazione del provider DoH può essere nella configurazione della connessione di rete. Ad esempio, puoi specificare un server DoH alternativo per accedere ai server di Google, in about: config.
Il valore di 0 disabilita completamente, mentre 1 serve per abilitare quello che è più veloce, 2 usa i valori di default e con backup DNS, 3 usa solo DoH e 4 usa una modalità mirror in cui DoH e DNS vengono usati in parallelo .