מפתחי פיירפוקס פרסמו דרך פרסומת הכללת המצב ברירת מחדל של DNS על פני HTTPS (DoH) למשתמשים בארצות הברית. נכון להיום, DoH זה מופעל כברירת מחדל בכל ההתקנות החדשות על ידי משתמשים אמריקאים. ואילו עבור המשתמשים הנוכחיים בארה"ב הם אמורים לעבור ל- DoH בעוד מספר שבועות. באיחוד האירופי ובמדינות אחרות, הם עדיין לא מתכננים להפעיל את DoH כברירת מחדל.
למשתמשים יש אפשרות לבחור בין שני ספקים: Cloudflare ו- NextDNS, שהם פותרים מהימנים. לאחר שהם מפעילים את DoH, הם יקבלו אזהרה המאפשרת למשתמש לבטל גישה לשרתי ה- DNS המרכזיים של DoH ולחזור לתכנית המסורתית כדי לשלוח בקשות לא מוצפנות לשרת ה- DNS של הספק.
במקום תשתית מבוזרת של פתרונות DNS, DoH משתמש בקישור לשירות DoH ספציפי, שיכולה להיחשב כנקודת כישלון אחת. התפקיד מוצע כיום באמצעות שני ספקי DNS: CloudFlare (ברירת מחדל) ו- NextDNS.
הצפנת נתוני DNS עם DoH היא רק הצעד הראשון. עבור מוזילה, הדרישה מחברות המטפלות בנתונים אלה לכללים קבועים, כמו אלה המתוארים בתוכנית TRR, מבטיחה שלא תנוצל לרעה גישה לנתונים אלה. לכן, זה חובה.
"עבור רוב המשתמשים, קשה מאוד לדעת לאן מועדות בקשות ה- DNS שלהם ומה הפותר עושה איתן", אמר אריק רסקורלה, מנהל CTO של Firefox. "תוכנית Firefox Trusted Recursive Resolver מאפשרת למוזילה לנהל משא ומתן עם ספקים מטעמה ולדרוש מהם מדיניות פרטיות מחמירה לפני הטיפול בנתוני ה- DNS שלך." אנו שמחים על כך ש- NextDNS שותפה איתנו כשאנו עובדים למען אנשים להחזיר את השליטה על הנתונים והפרטיות שלהם באופן מקוון. "
המו"ל משוכנע שבשילוב הטכנולוגיה הנכונה (DoH במקרה זה) ודרישות תפעוליות קפדניות למי שמיישם את זה, מוצא שותפים טובים ומקים הסכמים משפטיים העדיפים את הפרטיות, כברירת מחדל זה ישפר את פרטיות המשתמשים.
חשוב לזכור זאת DoH יכול להיות שימושי כדי למנוע דליפות מידע על שמות המארחים המבוקשים דרך שרתי ה- DNS של הספקים, להילחם בהתקפות MITM ולהחליף תעבורת DNS (לדוגמא, כאשר מתחברים ל- Wi-Fi ציבורי) ומתנגדים לחסימת DNS (DoH) אין אפשרות להחליף VPN בתחום העוקף המיושם של חסימות ברמת DPI) או לארגן עבודה אם אי אפשר לגשת ישירות ל- DNS שרתים (למשל, כאשר עובדים דרך פרוקסי).
אם במצבים רגילים, שאילתות DNS נשלחות ישירות לשרתי ה- DNS שהוגדרו בתצורת המערכת, אז במקרה של DoH, הבקשה לקבוע את כתובת ה- IP של המארח מקופלת בתעבורת HTTPS ונשלחת לשרת ה- HTTP שבו ה- פותר מעבד בקשות דרך ה- API של האינטרנט. תקן ה- DNSSEC הקיים משתמש בהצפנה רק לצורך אימות לקוח ושרת.
השימוש ב- DoH עלול לגרום לבעיות בתחומים כמו מערכות בקרת הורים, גישה למרחבי שמות פנימיים במערכות ארגוניות, בחירת נתיב במערכות אופטימיזציה למסירת תוכן ועמידה בצווי בית המשפט למאבק בהפצת תכנים בלתי חוקיים וניצול קטינים.
כדי לעקוף בעיות כאלה, הוטמעה ונבדקה מערכת אימות שמשבית באופן אוטומטי את DoH בתנאים מסוימים.
כדי לבצע שינוי או השבתה של ספק DoH יכול להיות בתצורה של חיבור הרשת. לדוגמה, תוכל לציין שרת DoH חלופי לגישה לשרתי Google, בערך: config.
הערך 0 מושבת לחלוטין, בעוד ש -1 משמש להפעלת המהיר מביניהם, 2 משתמש בערכי ברירת המחדל ועם DNS לגיבוי, 3 משתמש רק ב- DoH ו -4 הוא להשתמש במצב מראה בו משתמשים ב- DoH ו- DNS במקביל .