W Mozilli wierzymy, że DNS przez HTTPS (DoH) to funkcja, z której każdy powinien korzystać w celu zwiększenia swojej prywatności. Szyfrując żądania DNS, DoH ukrywa przed wszystkimi osobami twoje dane przeglądania przekazywane między tobą a twoim serwerem nazw. Na przykład użycie standardowych zapytań DNS w sieci publicznej może potencjalnie ujawnić każdą odwiedzoną witrynę innym użytkownikom sieci, a także operatorowi sieci.
Zachęcamy wszystkich do korzystania z DoH, ale zdajemy sobie również sprawę, że istnieje kilka okoliczności, w których DoH może być niepożądany, a mianowicie:
- sieci, które mają zaimplementowane pewnego rodzaju filtrowanie za pomocą domyślnej usługi rozpoznawania nazw DNS. Może to służyć do wdrażania kontroli rodzicielskiej lub blokowania dostępu do złośliwych stron internetowych,
- sieci odpowiadające na nazwy prywatne lub dostarczające odpowiedzi inne niż podane publicznie, na przykład firma może ujawnić tylko adres aplikacji używanej przez pracowników w ich wewnętrznej sieci.
Sieci mogą sygnalizować Firefoksowi, że istnieją specjalne funkcje, takie jak te, które zostałyby wyłączone, gdyby DoH był używany do rozpoznawania nazw domen. Sprawdzanie tej sygnalizacji zostanie zaimplementowane w Firefoksie, gdy DoH będzie domyślnie włączony dla użytkowników. Najpierw, w 2019 r. stanie się to dla użytkowników w Stanach Zjednoczonych, w 2021 w Kanadzie, a w marcu 2022 w Rosji i w Ukrainie. Jeśli użytkownik zdecyduje się wcześniej ręcznie włączyć DoH, sygnał włączający z sieci zostanie zignorowany, a preferencje użytkownika będą honorowane.
Administratorzy sieci mogą skonfigurować swoje sieci tak, aby traktowały żądania DNS dla domeny kanarkowej w inny sposób, aby zasygnalizować, że lokalny resolwer DNS implementuje specjalne funkcje, które sprawiają, że sieć nie nadaje się do obsługi DoH.
Oprócz opisanego powyżej sygnału „domeny kanarkowej” Firefox przed włączeniem DoH dla użytkownika wykona pewne sprawdzenia funkcji sieciowych niezgodnych z DoH. Te sprawdzenia będą wykonywane przy uruchomieniu przeglądarki i za każdym razem, gdy przeglądarka wykryje, że została uruchomiona w innej sieci, na przykład, gdy laptop jest używany w domu, pracy i kawiarni. Gdy podczas sprawdzania okaże się, że może wystąpić potencjalny problem, Firefox wyłączy DoH na pozostałą część sesji sieciowej, chyba że użytkownik włączył opcję „DoH always”, jak wspomniano powyżej.
Dodatkowe sprawdzenia przeprowadzane w celu filtrowania treści, to:
- analizowanie „domen kanarkowych” niektórych znanych dostawców DNS, aby wykryć filtrowanie treści.
- analizowanie wariantów „safe-search” google.com i youtube.com, aby ustalić, czy sieć przekierowuje do nich.
- w systemach Windows i macOS wykrywanie kontroli rodzicielskiej włączonej w systemie operacyjnym.
Dodatkowe sprawdzenia, które zostaną przeprowadzone dla prywatnych sieci „korporacyjnych” to:
- czy w Firefoksie preferencję security.enterprise_roots.enabled ustawiono na wartość true?
- czy skonfigurowano zasady korporacyjne?
