Firefox-utviklere har gitt ut gjennom en annonse inkluderingen av modusen Standard DNS over HTTPS (DoH) for brukere i USA. Per i dag gjør DoH det er aktivert som standard på alle nye installasjoner av amerikanske brukere. mens det for nåværende amerikanske brukere er planlagt å bytte til DoH om noen få uker. I EU og andre land planlegger de fortsatt ikke å aktivere DoH som standard.
Brukere har muligheten til å velge mellom to leverandører: Cloudflare og NextDNS, som er pålitelige løsere. Etter at de har aktivert DoH, vil de motta en advarsel som lar brukeren velge bort tilgang til de sentraliserte DoH DNS-serverne og gå tilbake til den tradisjonelle ordningen for å sende ukrypterte forespørsler til leverandørens DNS-server.
I stedet for en distribuert infrastruktur for DNS-resolvere, DoH bruker en lenke til en bestemt DoH-tjeneste, som kan betraktes som et eneste feilpunkt. Jobben tilbys for tiden gjennom to DNS-leverandører: CloudFlare (standard) og NextDNS.
Kryptering av DNS-data med DoH er bare det første trinnet. For Mozilla, å kreve at selskaper som håndterer disse dataene har etablerte regler, slik som de som er beskrevet i TRR-programmet, sikrer at tilgang til disse dataene ikke misbrukes. Derfor er det et must.
"For de fleste brukere er det veldig vanskelig å vite hvor DNS-forespørslene deres går og hva resolveren gjør med dem," sa Eric Rescorla, CTO for Firefox. "Firefox Trusted Recursive Resolver-programmet lar Mozilla forhandle med leverandører på vegne av dem og kreve at de har strenge personvernregler før de håndterer DNS-dataene dine." Vi er glade for at NextDNS samarbeider med oss når vi jobber for at folk skal få kontroll over dataene og personvernet deres online. "
Forlaget er overbevist om det ved å kombinere riktig teknologi (DoH i dette tilfellet) og strenge operasjonelle krav for de som implementerer det, finner gode partnere og etablerer juridiske avtaler som prioriterer personvern, som standard det vil forbedre brukernes personvern.
Det er viktig å huske det DoH kan være nyttig for å eliminere informasjonslekkasjer på vertsnavnene som er bedt om gjennom DNS-serverne til leverandørene, bekjempe MITM-angrep og erstatte DNS-trafikk (for eksempel når du kobler til offentlig Wi-Fi) og motsetter seg DNS (DoH), kan blokkering ikke erstatte en VPN i området for bypass-implementerte blokker på DPI-nivå) eller å organisere arbeid hvis det er umulig å få direkte tilgang til DNS servere (for eksempel når du arbeider gjennom en proxy).
Hvis det i normale situasjoner sendes DNS-spørsmål direkte til DNS-serverne som er definert i systemkonfigurasjonen, så blir DoH, forespørselen om å bestemme verts IP-adresse innkapslet i HTTPS-trafikken og sendt til serveren HTTP der resolver behandler forespørsler via web-API. Den eksisterende DNSSEC-standarden bruker kun kryptering for klient- og serverautentisering.
Bruk av DoH kan forårsake problemer i områder som foreldrekontrollsystemer, tilgang til interne navnerom i bedriftssystemer, banevalg i optimaliseringssystemer for innholdslevering og etterlevelse av rettskjennelser for å bekjempe spredning av ulovlig innhold og utnyttelse av mindreårige.
For å omgå slike problemer er det blitt implementert og testet et verifiseringssystem som automatisk deaktiverer DoH under visse forhold.
For å gjøre endring eller deaktivering av DoH-leverandøren kan være i konfigurasjonen av nettverkstilkoblingen. For eksempel kan du spesifisere en alternativ DoH-server for å få tilgang til Google-servere, i omtrent: config.
Verdien på 0 deaktiveres fullstendig, mens 1 brukes til å aktivere det som er raskest, 2 bruker standardverdiene og med backup-DNS, 3 bruker bare DoH og 4 er å bruke en speilmodus der DoH og DNS brukes parallelt .