Các nhà phát triển Firefox đã phát hành thông qua một quảng cáo sự bao gồm của chế độ DNS mặc định qua HTTPS (DoH) cho người dùng ở Hoa Kỳ. Tính đến ngày hôm nay, DoH nó được bật theo mặc định trên tất cả các cài đặt mới của người dùng Hoa Kỳ. trong khi đối với người dùng Hoa Kỳ hiện tại, họ được lên lịch chuyển sang DoH trong vài tuần nữa. Ở Liên minh Châu Âu và các quốc gia khác, họ vẫn không có kế hoạch kích hoạt DoH theo mặc định.
Người dùng có thể lựa chọn giữa hai nhà cung cấp: Cloudflare và NextDNS, là những người giải đáng tin cậy. Sau khi họ kích hoạt DoH, họ sẽ nhận được một cảnh báo cho phép người dùng chọn không truy cập vào các máy chủ DNS DoH tập trung và hoàn nguyên về sơ đồ truyền thống để gửi các yêu cầu không được mã hóa đến máy chủ DNS của nhà cung cấp.
Thay vì một cơ sở hạ tầng phân tán của các trình phân giải DNS, DoH sử dụng liên kết đến một dịch vụ DoH cụ thể, có thể được coi là một điểm thất bại duy nhất. Công việc hiện được cung cấp thông qua hai nhà cung cấp DNS: CloudFlare (mặc định) và NextDNS.
Mã hóa dữ liệu DNS bằng DoH chỉ là bước đầu tiên. Đối với Mozilla, yêu cầu các công ty xử lý dữ liệu này phải có các quy tắc được thiết lập, chẳng hạn như các quy tắc được mô tả trong chương trình TRR, đảm bảo rằng quyền truy cập vào dữ liệu này không bị lạm dụng. Do đó, nó là một điều bắt buộc.
Eric Rescorla, CTO của Firefox cho biết: “Đối với hầu hết người dùng, rất khó để biết các yêu cầu DNS của họ đang đi đến đâu và trình phân giải đang làm gì với chúng”. "Chương trình Trình phân giải đệ quy đáng tin cậy của Firefox cho phép Mozilla thay mặt mình đàm phán với các nhà cung cấp và yêu cầu họ có chính sách bảo mật nghiêm ngặt trước khi xử lý dữ liệu DNS của bạn." Chúng tôi rất vui vì NextDNS đang hợp tác với chúng tôi trong công việc của chúng tôi để giúp mọi người giành lại quyền kiểm soát dữ liệu và quyền riêng tư của họ trực tuyến. "
Nhà xuất bản tin rằng bằng cách kết hợp công nghệ phù hợp (DoH trong trường hợp này) và các yêu cầu hoạt động nghiêm ngặt đối với những người thực hiện nó, hãy tìm đối tác tốt và thiết lập các thỏa thuận pháp lý ưu tiên quyền riêng tư, theo mặc định nó sẽ cải thiện quyền riêng tư của người dùng.
Điều quan trọng là phải nhớ rằng DoH có thể hữu ích để loại bỏ rò rỉ thông tin trên các tên máy chủ được yêu cầu thông qua máy chủ DNS của các nhà cung cấp, chống lại các cuộc tấn công MITM và thay thế lưu lượng DNS (ví dụ: khi kết nối với Wi-Fi công cộng) và chặn DNS (DoH) đối lập không thể thay thế VPN trong lĩnh vực tránh các khối được triển khai ở cấp DPI) hoặc để tổ chức công việc nếu không thể truy cập trực tiếp vào DNS. máy chủ (ví dụ: khi làm việc thông qua proxy).
Nếu trong các tình huống bình thường, các truy vấn DNS được gửi trực tiếp đến các máy chủ DNS được xác định trong cấu hình hệ thống, thì trong trường hợp DoH, yêu cầu xác định địa chỉ IP của máy chủ được gói gọn trong lưu lượng HTTPS và được gửi đến máy chủ HTTP trong đó trình phân giải xử lý các yêu cầu thông qua API web. Tiêu chuẩn DNSSEC hiện tại chỉ sử dụng mã hóa để xác thực máy khách và máy chủ.
Việc sử dụng DoH có thể gây ra các vấn đề trong các lĩnh vực như hệ thống kiểm soát của phụ huynh, quyền truy cập vào không gian tên nội bộ trong hệ thống của công ty, lựa chọn đường dẫn trong hệ thống tối ưu hóa phân phối nội dung và tuân thủ các lệnh của tòa án để chống lại việc truyền bá nội dung bất hợp pháp và lợi dụng trẻ vị thành niên.
Để giải quyết những vấn đề như vậy, một hệ thống xác minh đã được triển khai và thử nghiệm để tự động vô hiệu hóa DoH trong các điều kiện nhất định.
Để thực hiện thay đổi hoặc hủy kích hoạt nhà cung cấp DoH có thể nằm trong cấu hình của kết nối mạng. Ví dụ: bạn có thể chỉ định một máy chủ DoH thay thế để truy cập các máy chủ của Google, trong about: config.
Giá trị 0 hoàn toàn vô hiệu hóa, trong khi 1 được sử dụng để bật tùy chọn nào nhanh hơn, 2 sử dụng các giá trị mặc định và với DNS dự phòng, 3 chỉ sử dụng DoH và 4 là sử dụng chế độ nhân bản trong đó DoH và DNS được sử dụng song song. .