Розробники Firefox випустили через рекламу включення режиму DNS за замовчуванням через HTTPS (DoH) для користувачів у США. На сьогоднішній день DoH він увімкнений за замовчуванням для всіх нових установок користувачами США. тоді як для нинішніх американських користувачів вони планують перейти на DoH через кілька тижнів. В Європейському Союзі та інших країнах вони все ще не планують активувати DoH за замовчуванням.
Користувачі мають можливість вибору між двома постачальниками: Cloudflare та NextDNS, які є надійними вирішувачами. Після активації DoH вони отримають попередження, що дозволяє користувачеві відмовитись від доступу до централізованих DH-серверів DoH та повернутися до традиційної схеми надсилання незашифрованих запитів на DNS-сервер провайдера.
Замість розподіленої інфраструктури вирішувачів DNS, DoH використовує посилання на певну службу DoH, що можна розглядати як єдину точку відмови. Наразі роботу пропонують два постачальники DNS: CloudFlare (за замовчуванням) і NextDNS.
Шифрування даних DNS за допомогою DoH - це лише перший крок. Для Mozilla, вимагаючи від компаній, які обробляють ці дані, встановити правила, такі як описані в програмі TRR, гарантує, що доступ до цих даних не буде зловживаним. Тому це обов’язково.
"Для більшості користувачів дуже важко знати, куди спрямовуються їх запити на DNS і що робить вирішувач з ними", - сказав Ерік Рескорла, технічний директор Firefox. "Програма Firefox Trusted Recursive Resolver дозволяє Mozilla вести переговори з постачальниками від її імені та вимагати від них суворої політики конфіденційності перед обробкою ваших даних DNS". Ми раді, що NextDNS співпрацює з нами в нашій роботі, щоб допомогти людям відновити контроль над своїми даними та конфіденційністю в Інтернеті ".
Видавець переконаний, що поєднуючи правильну технологію (DoH у цьому випадку) і суворі експлуатаційні вимоги для тих, хто його впроваджує, за замовчуванням знаходять хороших партнерів та укладають юридичні угоди, які надають пріоритет приватності це покращить конфіденційність користувачів.
Важливо пам’ятати про це DoH може бути корисним для усунення витоків інформації на імена хостів, запитувані через DNS-сервери постачальників, боротися з атаками MITM і замінити трафік DNS (наприклад, при підключенні до загальнодоступного Wi-Fi) та протистояння блокуванню DNS (DoH) не може замінити VPN в області уникнення реалізованих блоків на рівні DPI) або організувати роботу, якщо неможливий безпосередній доступ до DNS серверів (наприклад, при роботі через проксі).
Якщо в звичайних ситуаціях запити DNS надсилаються безпосередньо на DNS-сервери, визначені в конфігурації системи, то у випадку DoH запит на визначення IP-адреси хоста інкапсулюється в трафік HTTPS і надсилається на HTTP-сервер, в якому Resover обробляє запити через веб-API. Існуючий стандарт DNSSEC використовує шифрування лише для автентифікації клієнта та сервера.
Використання DoH може спричинити проблеми у таких областях, як системи батьківського контролю, доступ до внутрішніх просторів імен у корпоративних системах, вибір шляху в системах оптимізації доставки вмісту та виконання судових наказів щодо боротьби з розповсюдженням незаконного вмісту та експлуатацією неповнолітніх.
Щоб обійти такі проблеми, впроваджена та перевірена система перевірки, яка автоматично вимикає DoH за певних умов.
Змінити або деактивувати постачальника послуг DoH можна в конфігурації мережевого з'єднання. Наприклад, ви можете вказати альтернативний сервер DoH для доступу до серверів Google, приблизно: config.
Значення 0 повністю відключає, в той час як 1 використовується для того, щоб зробити те, що швидше, 2 використовує значення за замовчуванням і при резервному DNS, 3 використовує лише DoH, а 4 - використовувати дзеркальний режим, в якому DoH і DNS використовуються паралельно .