Razvijalci Firefoxa so izdali prek oglasa vključitev načina Privzeti DNS prek HTTPS (DoH) za uporabnike v ZDA. Od danes DoH privzeto je omogočen pri vseh novih namestitvah uporabnikov iz ZDA. medtem ko naj bi sedanji uporabniki v ZDA čez nekaj tednov prešli na DoH. V Evropski uniji in drugih državah še vedno ne nameravajo privzeto aktivirati DoH.
Uporabniki lahko izbirajo med dvema ponudnikoma: Cloudflare in NextDNS, ki so zaupni reševalci. Ko aktivirajo DoH, bodo prejeli opozorilo, ki bo uporabniku omogočilo, da onemogoči dostop do centraliziranih strežnikov DoH DNS in se vrne na tradicionalno shemo za pošiljanje nešifriranih zahtev na strežnik DNS ponudnika.
Namesto porazdeljene infrastrukture reševalcev DNS, DoH uporablja povezavo do določene storitve DoH, kar lahko obravnavamo kot eno samo točko okvare. Opravilo je trenutno na voljo prek dveh ponudnikov DNS: CloudFlare (privzeto) in NextDNS.
Šifriranje podatkov DNS z DoH je le prvi korak. Za Mozillo zahteva, da imajo podjetja, ki obdelujejo te podatke, vzpostavljena pravila, kot so tista, opisana v programu TRR, zagotavlja, da dostop do teh podatkov ni zlorabljen. Zato je nujno.
"Za večino uporabnikov je zelo težko vedeti, kam gredo njihove zahteve za DNS in kaj reševalec počne z njimi," je dejal Eric Rescorla, tehnični direktor Firefoxa. "Program Firefox Trusted Recursive Resolver omogoča Mozilli, da se v njegovem imenu pogaja s prodajalci in zahteva stroge pravilnike o zasebnosti pred obdelavo vaših podatkov DNS." Veseli smo, da NextDNS sodeluje z nami, saj si prizadevamo, da si ljudje povrnejo nadzor nad svojimi podatki in zasebnostjo v spletu. "
Založnik je prepričan, da s kombinacijo prave tehnologije (DoH v tem primeru) in stroge operativne zahteve za tiste, ki jo izvajajo, privzeto poiščite dobre partnerje in sklenite pravne sporazume, ki dajejo prednost zasebnosti izboljšala bo zasebnost uporabnikov.
Pomembno je, da se tega spomnite DoH je lahko koristen za odpravo uhajanja informacij za imena gostiteljev, zahtevana prek strežnikov DNS ponudnikov, boj proti napadom MITM in nadomestitev prometa DNS (na primer pri povezovanju z javnim Wi-Fi) in nasprotovanje blokiranju DNS (DoH) ne more nadomestiti VPN na območju obvoznih blokov na ravni DPI) ali organizirati delo, če ni mogoče neposredno dostopati do DNS strežnikov (na primer pri delu prek strežnika proxy).
Če se v običajnih razmerah poizvedbe DNS pošljejo neposredno na strežnike DNS, opredeljene v sistemski konfiguraciji, je v primeru DoH zahteva za določitev gostiteljskega naslova IP vključena v promet HTTPS in poslana strežniku HTTP, v katerem je razreševalnik obdela zahteve prek spletnega API-ja. Obstoječi standard DNSSEC uporablja šifriranje samo za preverjanje pristnosti odjemalca in strežnika.
Uporaba DoH lahko povzroči težave na področjih, kot so sistemi starševskega nadzora, dostop do notranjih imenskih prostorov v korporacijskih sistemih, izbira poti v sistemih za optimizacijo dostave vsebin in spoštovanje sodnih odredb za boj proti širjenju nezakonite vsebine in izkoriščanju mladoletnikov.
Da bi rešili takšne težave, je bil uveden in preizkušen sistem preverjanja, ki samodejno onemogoči DoH pod določenimi pogoji.
Če želite spremeniti ali izključiti ponudnika DoH, lahko v nastavitvah omrežne povezave. Na primer, lahko določite nadomestni strežnik DoH za dostop do Googlovih strežnikov v približno: config.
Vrednost 0 popolnoma onemogoči, medtem ko se 1 uporablja za omogočanje, kar je hitreje, 2 uporablja privzete vrednosti in z varnostnim DNS-jem, 3 uporablja samo DoH in 4 uporablja zrcalni način, v katerem se DoH in DNS uporabljata vzporedno .