Pembangun Firefox telah mengeluarkan melalui iklan kemasukan mod DNS lalai melalui HTTPS (DoH) untuk pengguna di Amerika Syarikat. Sehingga hari ini, DoH ia diaktifkan secara lalai pada semua pemasangan baru oleh pengguna AS. sedangkan untuk pengguna AS semasa mereka dijadualkan beralih ke DoH dalam beberapa minggu. Di Kesatuan Eropah dan negara-negara lain, mereka masih tidak merancang untuk mengaktifkan DoH secara lalai.
Pengguna mempunyai pilihan untuk memilih antara dua penyedia: Cloudflare dan NextDNS, yang merupakan penyelesai yang dipercayai. Setelah mereka mengaktifkan DoH, mereka akan menerima amaran yang membolehkan pengguna memilih untuk tidak mengakses pelayan DNS DoH terpusat dan kembali ke skema tradisional untuk mengirim permintaan yang tidak disulitkan ke pelayan DNS penyedia.
Daripada infrastruktur penyelesai DNS yang diedarkan, DoH menggunakan pautan ke perkhidmatan DoH tertentu, yang boleh dianggap sebagai satu titik kegagalan. Pekerjaan ini ditawarkan melalui dua penyedia DNS: CloudFlare (lalai) dan NextDNS.
Menyulitkan data DNS dengan DoH hanyalah langkah pertama. Untuk Mozilla, menghendaki syarikat yang menangani data ini memiliki peraturan yang ditetapkan, seperti yang dijelaskan dalam program TRR, memastikan bahawa akses ke data ini tidak disalahgunakan. Oleh itu, ia adalah suatu kemestian.
"Bagi kebanyakan pengguna, sangat sukar untuk mengetahui kemana permintaan DNS mereka dan apa yang dilakukan oleh penyelesai dengan mereka," kata Eric Rescorla, Firefox CTO. "Program Firefox Trusted Recursive Resolver membolehkan Mozilla berunding dengan vendor bagi pihaknya dan menghendaki mereka mempunyai dasar privasi yang ketat sebelum menangani data DNS anda." Kami gembira NextDNS bekerjasama dengan kami semasa kami berusaha agar orang ramai dapat menguasai kembali data dan privasi mereka dalam talian. "
Penerbit yakin bahawa dengan menggabungkan teknologi yang tepat (DoH dalam kes ini) dan syarat operasi yang ketat bagi mereka yang melaksanakannya, cari rakan kongsi yang baik dan buat perjanjian undang-undang yang mengutamakan privasi, secara lalai ia akan meningkatkan privasi pengguna.
Penting untuk mengingatnya DoH boleh berguna untuk menghilangkan kebocoran maklumat pada nama host yang diminta melalui pelayan DNS penyedia, memerangi serangan MITM dan menggantikan lalu lintas DNS (misalnya, ketika menyambung ke Wi-Fi awam) dan menentang penyekat DNS (DoH) tidak dapat menggantikan VPN di kawasan blok yang dilaksanakan bypass pada tingkat DPI) atau untuk mengatur kerja jika mustahil untuk mengakses DNS secara langsung pelayan (contohnya, semasa bekerja melalui proksi).
Jika dalam situasi normal, pertanyaan DNS dikirim langsung ke pelayan DNS yang ditentukan dalam konfigurasi sistem, maka dalam hal DoH, permintaan untuk menentukan alamat IP host dienkapsulasi dalam lalu lintas HTTPS dan dikirim ke server HTTP di mana penyelesai memproses permintaan melalui API web. Piawai DNSSEC yang ada menggunakan enkripsi hanya untuk pengesahan pelanggan dan pelayan.
Penggunaan DoH boleh menyebabkan masalah di kawasan seperti sistem kawalan ibu bapa, akses ke ruang nama dalaman dalam sistem korporat, pemilihan jalan dalam sistem pengoptimuman penyampaian kandungan dan kepatuhan terhadap perintah mahkamah untuk memerangi penyebaran kandungan haram dan eksploitasi kanak-kanak di bawah umur.
Untuk mengatasi masalah tersebut, sistem pengesahan telah dilaksanakan dan diuji yang secara automatik melumpuhkan DoH dalam keadaan tertentu.
Untuk membuat perubahan atau penonaktifan penyedia DoH boleh dilakukan dalam konfigurasi sambungan rangkaian. Sebagai contoh, anda boleh menentukan pelayan DoH alternatif untuk mengakses pelayan Google, di sekitar: config.
Nilai 0 melumpuhkan sepenuhnya, sementara 1 digunakan untuk mengaktifkan mana yang lebih cepat, 2 menggunakan nilai lalai dan dengan sandaran DNS, 3 hanya menggunakan DoH dan 4 adalah menggunakan mod cermin di mana DoH dan DNS digunakan secara selari .