Firefox開發人員已發布 通過廣告 模式的包含 通過HTTPS的默認DNS (DoH),適用於美國用戶。 截至今天,衛生部 默認情況下,美國用戶在所有新安裝的系統中都啟用了此功能。 而對於目前的美國用戶,他們計劃在幾週內切換到DoH。 在歐盟和其他國家/地區,它們仍然不打算默認激活DoH。
用戶可以選擇在兩個提供商之間進行選擇:Cloudflare和NextDNS,是值得信賴的求解器。 激活DoH後,他們將收到一條警告,允許用戶選擇退出訪問集中式DoH DNS服務器,並恢復到傳統方案以將未加密的請求發送到提供商的DNS服務器。
代替DNS解析器的分佈式基礎架構, DoH使用指向特定DoH服務的鏈接,可以將其視為單點故障。 該作業當前通過兩個DNS提供程序提供:CloudFlare(默認)和NextDNS。
使用DoH加密DNS數據只是第一步。 對於Mozilla, 要求處理這些數據的公司製定既定規則(例如TRR計劃中所述的規則),以確保不會濫用對這些數據的訪問。 因此,這是必須的。
Firefox CTO Eric Rescorla說:“對於大多數用戶來說,很難知道他們的DNS請求將去向何處以及解析程序正在對它們進行什麼處理。” “ Firefox Trusted Recursive Resolver程序允許Mozilla代表其與供應商進行談判,並要求他們在處理DNS數據之前具有嚴格的隱私權政策。” 我們很高興NextDNS與我們合作,因為我們致力於幫助人們重新獲得對他們的數據和隱私的在線控制。”
發布者深信,通過結合正確的技術 (在這種情況下為DoH) 和嚴格的操作要求 對於那些實施它的人,默認情況下,尋找好的合作夥伴並建立法律,優先考慮隱私 它將改善用戶隱私。
重要的是要記住 DoH有助於消除信息洩漏 在通過提供商的DNS服務器請求的主機名上, 抵禦MITM攻擊並替換DNS流量 (例如,當連接到公共Wi-Fi時)並且反對DNS(DoH)阻止無法在DPI級別的繞過實施的塊的區域中替換VPN),或者在無法直接訪問DNS的情況下組織工作服務器(例如,通過代理工作時)。
如果在正常情況下,DNS查詢直接發送到系統配置中定義的DNS服務器,那麼在DoH的情況下,確定主機IP地址的請求將封裝在HTTPS流量中,然後發送到服務器HTTP,解析器通過Web API處理請求。 現有的DNSSEC標準僅將加密用於客戶端和服務器身份驗證。
使用DoH可能會在家長控制系統, 訪問公司係統中的內部名稱空間, 內容交付優化系統中的路徑選擇 並遵守法院命令,以打擊非法內容的傳播和對未成年人的剝削。
為了解決這些問題,已經實施並測試了一種驗證系統,該系統在某些情況下會自動禁用DoH。
要更改或停用DoH提供程序,可以在網絡連接的配置中進行。 例如,您可以在about:config中指定備用DoH服務器來訪問Google服務器。
值0完全禁用,而使用1啟用更快的速度,使用2的默認值和備份DNS,使用3的僅使用DoH,使用4的鏡像模式並行使用DoH和DNS 。