Firefox开发人员已发布 通过广告 模式的包含 通过HTTPS的默认DNS (DoH)适用于美国用户。 截至今天,卫生部 默认情况下,美国用户在所有新安装的系统中都启用了此功能。 而对于目前的美国用户,他们计划在几周内切换到DoH。 在欧盟和其他国家/地区,它们仍然不打算默认激活DoH。
用户可以选择在两个提供商之间进行选择:Cloudflare和NextDNS,是值得信赖的求解器。 激活DoH后,他们将收到一条警告,允许用户选择退出访问集中式DoH DNS服务器,并恢复到传统方案以将未加密的请求发送到提供商的DNS服务器。
代替DNS解析器的分布式基础架构, DoH使用指向特定DoH服务的链接,可以将其视为单点故障。 当前,该作业是通过两个DNS提供商提供的:CloudFlare(默认)和NextDNS。
使用DoH加密DNS数据只是第一步。 对于Mozilla, 要求处理这些数据的公司制定既定规则(例如TRR计划中所述的规则),以确保不会滥用对这些数据的访问。 因此,这是必须的。
Firefox CTO Eric Rescorla说:“对于大多数用户来说,很难知道他们的DNS请求将去向何处以及解析程序正在对它们进行什么处理。” “ Firefox Trusted Recursive Resolver程序允许Mozilla代表其与供应商进行谈判,并要求他们在处理DNS数据之前具有严格的隐私权政策。” 我们很高兴NextDNS在我们的工作中与我们合作,帮助人们重新获得对其数据和隐私的在线控制。”
发布者深信,通过结合正确的技术 (在这种情况下为DoH) 和严格的操作要求 对于那些实施它的人,默认情况下,寻找好的合作伙伴并建立法律,优先考虑隐私 它将改善用户隐私。
重要的是要记住这一点 DoH有助于消除信息泄漏 在通过提供商的DNS服务器请求的主机名上, 抵御MITM攻击并替换DNS流量 (例如,当连接到公共Wi-Fi时),并且在无法直接访问DNS的情况下,对立DNS(DoH)阻止无法在避免在DPI级别实施的块的区域中替换VPN)或组织工作服务器(例如,通过代理工作时)。
如果在正常情况下,DNS查询直接发送到系统配置中定义的DNS服务器,则在DoH情况下,将确定主机IP地址的请求封装在HTTPS流量中,并发送到服务器(在该服务器中使用解析程序)通过Web API处理请求。 现有的DNSSEC标准仅将加密用于客户端和服务器身份验证。
使用DoH可能会在家长控制系统, 访问公司系统中的内部名称空间, 内容交付优化系统中的路径选择 并遵守法院命令,以打击非法内容的传播和对未成年人的剥削。
为了解决这些问题,已经实施并测试了一种验证系统,该验证系统在某些情况下会自动禁用DoH。
要更改或停用DoH提供程序,可以在网络连接的配置中进行。 例如,您可以在about:config中指定备用DoH服务器来访问Google服务器。
值0完全禁用,而使用1启用更快的速度,使用2的默认值和备份DNS,使用3的仅使用DoH,使用4的镜像模式并行使用DoH和DNS 。