Configurando redes para desativar DNS sobre HTTPS

Na Mozilla, acreditamos que DNS sobre HTTPS (DNS-over-HTTPS em inglês, ou DoH) é um recurso que todos deveriam usar para melhorar sua privacidade. Ao criptografar essas requisições de DNS, o DoH oculta seus dados de navegação de qualquer um no caminho de rede entre você e seu servidor de nomes. Por exemplo, usando consultas padrão de DNS em uma rede pública pode potencialmente revelar cada site que você visita para outros usuários na rede, assim como ao operador da rede.

Embora queiramos incentivar que todos usem DoH, também reconhecemos que existem algumas circunstâncias em que o DoH pode não ser desejado, especificamente:

  • Redes que têm implementado algum tipo de filtragem através do resolvedor de DNS padrão. Isso é tipicamente usado para implementar controle dos pais e para bloquear o acesso a sites maliciosos.
  • Redes que respondem a nomes que são privativos e/ou que dão resultados diferentes daqueles fornecidos publicamente. Por exemplo, uma empresa pode expor somente em sua rede interna o endereço de uma aplicação usada por seus funcionários.

Redes podem sinalizar ao Firefox que há implementados recursos específicos como esses, que seriam desativados caso o DoH fosse usado para resolução de nomes de domínios. A verificação dessa sinalização será implementada no Firefox quando o DoH for ativado por padrão para os usuários. Isso ocorrerá primeiro para usuários nos Estados Unidos em meados do segundo semestre de 2019. Se um usuário tiver escolhido manualmente ativar o DoH, a sinalização da rede será ignorada e a preferência do usuário será respeitada.

Administradores de rede podem configurar suas redes como descrito a seguir para sinalizar que seu resolvedor local de DNS tem implementado recursos especiais que tornam a rede imprópria para DoH:

Consultas a DNS nos registros A e AAAA do domínio “use-application-dns.net” devem responder com NXDOMAIN em vez do endereço IP obtido do servidor autorizado de nomes.

O domínio “use-application-dns.net” é considerado um “domínio canário”. Alguns fornecedores existentes de filtragem de DNS já implementam domínios similares para que usuários verifiquem se a filtragem está funcionando. Este novo domínio é diferente porque é destinado a ser implementado por várias soluções de filtragem e também ser verificado por softwares como o Firefox, em vez de ser verificado explicitamente pelo usuário. Este mecanismo foi criado pela Mozilla como uma medida provisória, até que seja aprovado um padrão de internet mais permanente de sinalização da presença de filtragem de conteúdo com base em DNS.

Além da sinalização de domínio canário descrita acima, o Firefox efetuará algumas verificações de recursos de rede que são incompatíveis com DoH antes de o ativar para um usuário. Essas verificações serão efetuadas ao iniciar o navegador e toda vez que o navegador detectar que mudou para outra rede, por exemplo quando um mesmo notebook é usado em casa, no trabalho e em uma cafeteria. Quando qualquer uma dessas verificações indicar um potencial problema, o Firefox irá desativar o DoH durante o restante da sessão de rede, a menos que o usuário tenha ativado a preferência “Sempre DNS sobre HTTPS” como mencionado acima.

As verificações adicionais que serão efetuadas para filtragem de conteúdo são:

  • Resolver domínios canário de determinados provedores conhecidos de DNS para detectar filtragem de conteúdo
  • Resolver as variantes de “safe-search” do google.com e do youtube.com para determinar se a rede redireciona para eles
  • No Windows e no macOS, detectar se o controle dos pais está ativado no sistema operacional

As verificações adicionais que serão efetuadas para redes “corporativas” privativas são:

  • A preferência security.enterprise_roots.enabled do Firefox está definida como true?
  • Há alguma política empresarial configurada?

Este artigo foi útil?

Por favor, aguarde...

Essas pessoas ajudaram a escrever este artigo:

Illustration of hands

Torne-se um voluntário

Desenvolva e compartilhe sua especialidade com outras pessoas. Responda perguntas e aprimore nossa base de conhecimento.

Saiba mais