Na Mozilla, acreditamos que DNS sobre HTTPS (DNS-over-HTTPS em inglês, ou DoH) é um recurso que todos deveriam usar para melhorar sua privacidade. Ao criptografar requisições de nome de servidor, DNS sobre HTTPS oculta seus dados de navegação de qualquer um no caminho de rede entre você e o servidor de nomes. Por exemplo, fazer consultas com DNS padrão em uma rede pública pode potencialmente revelar cada site que você visita para outros usuários na rede, assim como ao operador da rede. Embora queiramos incentivar que todos usem DNS sobre HTTPS, também reconhecemos que existem algumas circunstâncias em que DNS sobre HTTPS pode não ser desejado, especificamente:
- Redes que têm implementado algum tipo de filtragem através do resolvedor de DNS padrão. Isso pode ser usado para implementar controle dos pais ou bloquear o acesso a sites maliciosos.
- Redes que respondem a nomes que são privativos e/ou que dão resultados diferentes daqueles fornecidos publicamente. Por exemplo, uma empresa pode expor somente em sua rede interna o endereço de uma aplicação usada por seus funcionários.
Redes podem sinalizar ao Firefox que há implementados recursos específicos como esses, que deixariam de funcionar caso DNS sobre HTTPS fosse usado para resolução de nomes de domínios. A verificação dessa sinalização é feita pelo Firefox quando DNS sobre HTTPS é ativado por padrão para os usuários de uma região. Isso ocorreu primeiro para usuários nos Estados Unidos no outono de 2019, no Canadá no verão de 2021 e na Rússia e Ucrânia em março de 2022. Se um usuário tiver escolhido manualmente ativar DNS sobre HTTPS, a sinalização da rede será ignorada e a preferência do usuário será respeitada.
Administradores de rede podem configurar suas redes para tratar requisições de DNS de um domínio "canary" diferente, para sinalizar que seu resolvedor local de DNS tem implementado recursos especiais que tornam a rede imprópria para DNS sobre HTTPS.
Além da sinalização de domínio "canary" descrita acima, o Firefox efetua algumas verificações de recursos de rede que são incompatíveis com DNS sobre HTTPS antes de o ativar para um usuário. Essas verificações são efetuadas ao iniciar o navegador e toda vez que o navegador detectar que mudou para outra rede, por exemplo quando um notebook é usado em casa, no trabalho e em uma cafeteria. Quando qualquer uma dessas verificações indicar um potencial problema, o Firefox desativa DNS sobre HTTPS pelo restante da sessão de rede, a menos que o usuário tenha configurado para sempre usar DNS sobre HTTPS como mencionado acima.
As verificações adicionais efetuadas para filtragem de conteúdo são:
- Resolver domínios "canary" de determinados provedores conhecidos de DNS para detectar filtragem de conteúdo.
- Resolver as variantes de “safe-search” do google.com e do youtube.com para determinar se a rede redireciona para eles.
- Em Windows e macOS, detectar se o controle dos pais está ativado no sistema operacional.
As verificações adicionais efetuadas para redes privadas “corporativas” são:
- A preferência security.enterprise_roots.enabled do Firefox está definida como true?
- Há alguma diretiva corporativa configurada?
