Firefox-ontwikkelaars hebben uitgebracht via een advertentie de opname van de modus Standaard DNS via HTTPS (DoH) voor gebruikers in de Verenigde Staten. Met ingang van vandaag, DoH het is standaard ingeschakeld op alle nieuwe installaties door Amerikaanse gebruikers. terwijl ze voor huidige Amerikaanse gebruikers gepland zijn om over een paar weken over te schakelen naar DoH. In de Europese Unie en andere landen zijn ze nog steeds niet van plan om DoH standaard te activeren.
Gebruikers hebben de mogelijkheid om te kiezen tussen twee providers: Cloudflare en NextDNS, die vertrouwde oplossers zijn. Nadat ze DoH hebben geactiveerd, ontvangen ze een waarschuwing waarmee de gebruiker zich kan afmelden voor toegang tot de gecentraliseerde DoH DNS-servers en terug kan keren naar het traditionele schema om niet-versleutelde verzoeken naar de DNS-server van de provider te sturen.
In plaats van een gedistribueerde infrastructuur van DNS-resolvers, DoH gebruikt een link naar een specifieke DoH-service, dat kan worden beschouwd als een single point of failure. De baan wordt momenteel aangeboden via twee DNS-providers: CloudFlare (standaard) en NextDNS.
DNS-gegevens versleutelen met DoH is slechts de eerste stap. Voor Mozilla, door te eisen dat bedrijven die met deze gegevens omgaan, regels hebben opgesteld, zoals beschreven in het TRR-programma, zorgt ervoor dat de toegang tot deze gegevens niet wordt misbruikt. Daarom is het een must.
"Voor de meeste gebruikers is het erg moeilijk om te weten waar hun DNS-verzoeken naartoe gaan en wat de resolver ermee doet", zegt Eric Rescorla, Firefox CTO. "Het Firefox Trusted Recursive Resolver-programma stelt Mozilla in staat namens hem met leveranciers te onderhandelen en van hen te eisen dat ze een strikt privacybeleid hebben voordat ze met uw DNS-gegevens omgaan." We zijn verheugd dat NextDNS met ons samenwerkt in ons werk om mensen te helpen weer controle te krijgen over hun gegevens en privacy online. "
De uitgever is ervan overtuigd dat door de juiste technologie te combineren (DoH in dit geval) en strikte operationele eisen voor degenen die het implementeren, vind goede partners en maak juridische overeenkomsten die standaard prioriteit geven aan privacy het verbetert de privacy van de gebruiker.
Het is belangrijk te onthouden dat DoH kan nuttig zijn om informatielekken te elimineren op de hostnamen die worden aangevraagd via de DNS-servers van de providers, bestrijd MITM-aanvallen en vervang DNS-verkeer (bijvoorbeeld bij het verbinden met openbare Wi-Fi) en tegen DNS (DoH) -blokkering kan een VPN op het gebied van bypass geïmplementeerde blokken op DPI-niveau niet vervangen) of om werk te organiseren als het onmogelijk is om rechtstreeks toegang te krijgen tot DNS servers (bijvoorbeeld wanneer u via een proxy werkt).
Als in normale situaties DNS-query's rechtstreeks naar de DNS-servers worden gestuurd die zijn gedefinieerd in de systeemconfiguratie, wordt in het geval van DoH het verzoek om het IP-adres van de host te bepalen ingekapseld in het HTTPS-verkeer en verzonden naar de server HTTP waarin de resolver verwerkt verzoeken via de web-API. De bestaande DNSSEC-standaard gebruikt versleuteling alleen voor client- en serverauthenticatie.
Het gebruik van DoH kan problemen veroorzaken op gebieden als ouderlijk toezicht, toegang tot interne naamruimten in bedrijfssystemen, padkeuze in optimalisatiesystemen voor contentlevering en naleving van gerechtelijke bevelen om de verspreiding van illegale inhoud en de uitbuiting van minderjarigen te bestrijden.
Om dergelijke problemen te omzeilen, is een verificatiesysteem geïmplementeerd en getest dat DoH onder bepaalde voorwaarden automatisch uitschakelt.
Om de wijziging of deactivering van de DoH-provider door te voeren, kan dit in de configuratie van de netwerkverbinding zijn. U kunt bijvoorbeeld een alternatieve DoH-server specificeren om toegang te krijgen tot Google-servers, in about: config.
De waarde van 0 wordt volledig uitgeschakeld, terwijl 1 wordt gebruikt om in te schakelen wat sneller is, 2 gebruikt de standaardwaarden en met back-up DNS, 3 gebruikt alleen DoH en 4 is om een spiegelmodus te gebruiken waarin DoH en DNS parallel worden gebruikt .