Στη Mozilla, πιστεύουμε ότι το DNS over HTTPS (DoH) είναι μια λειτουργία που θα πρέπει να χρησιμοποιούν όλοι για να ενισχύσουν την ιδιωτικότητά τους. Κρυπτογραφώντας τα αιτήματα DNS, το DoH αποκρύπτει τα δεδομένα περιήγησής σας από οποιονδήποτε βρίσκεται στη διαδρομή του δικτύου μεταξύ εσάς και του διακομιστή ονοματοδοσίας σας. Για παράδειγμα, η χρήση τυπικών ερωτημάτων DNS σε ένα δημόσιο δίκτυο μπορεί να αποκαλύψει τους ιστοτόπους που επισκέπτεστε στους υπόλοιπους χρήστες του δικτύου, καθώς και στον πάροχο του δικτύου σας. Αν και θα θέλαμε να ενθαρρύνουμε όλους τους χρήστες να ενεργοποιήσουν το DoH, αναγνωρίζουμε ότι υπάρχουν μερικές περιπτώσεις στις οποίες το DoH μπορεί να είναι ανεπιθύμητο και συγκεκριμένα σε:
- Δίκτυα που έχουν εφαρμόσει κάποιου είδους φιλτράρισμα μέσω του προεπιλεγμένου προγράμματος ανάλυσης DNS. Αυτό μπορεί να χρησιμοποιηθεί για την εφαρμογή γονικών ελέγχων ή για τον αποκλεισμό πρόσβασης σε κακόβουλους ιστοτόπους.
- Δίκτυα που απαντούν σε ονόματα που είναι ιδιωτικά ή/και που προσφέρουν διαφορετικές απαντήσεις από αυτές που παρέχονται δημόσια. Για παράδειγμα, μια εταιρεία μπορεί να αποκαλύψει μόνο τη διεύθυνση μιας εφαρμογής που χρησιμοποιείται από τους υπαλλήλους της στο εσωτερικό δίκτυό της.
Τα δίκτυα μπορούν να ενημερώσουν το Firefox ότι υπάρχουν ειδικές δυνατότητες, όπως αυτές που θα απενεργοποιούνταν εάν γινόταν χρήση του DoH για την ανάλυση των ονομάτων τομέων. Ο έλεγχος για αυτήν την ενημέρωση θα υλοποιηθεί στο Firefox όταν το DoH ενεργοποιηθεί από προεπιλογή για τους χρήστες. Αυτό θα γίνει για πρώτη φορά στους χρήστες των Ηνωμένων Πολιτειών το φθινόπωρο του 2019, στον Καναδά το καλοκαίρι του 2021, στην Ρωσία και την Ουκρανία το Μάρτιο 2022. Εάν ένας χρήστης επιλέξει να ενεργοποιήσει μη αυτόματα το DoH, η ενημέρωση από το δίκτυο θα αγνοηθεί και θα διατηρηθεί η προτίμηση του χρήστη.
Οι διαχειριστές δικτύου μπορούν να ρυθμίσουν τα δίκτυά τους, έτσι ώστε να διαχειρίζονται διαφορετικά τα αιτήματα DNS για έναν τομέα canary, για ενημέρωση του τοπικού τους προγράμματος ανάλυσης DNS σχετικά με την ύπαρξη ειδικών δυνατοτήτων, που καθιστούν το δίκτυο ακατάλληλο για DoH.
Εκτός από την ενημέρωση μέσω τομέα canary που περιγράφεται παραπάνω, το Firefox θα πραγματοποιεί ορισμένους ελέγχους για λειτουργίες δικτύου που δεν είναι συμβατές με το DoH, προτού το ενεργοποιήσει για τον χρήστη. Αυτοί οι έλεγχοι θα πραγματοποιούνται πριν από την έναρξη του φυλλομετρητή και κάθε φορά που ο φυλλομετρητής θα εντοπίζει ότι μεταφέρθηκε σε διαφορετικό δίκτυο, όπως όταν χρησιμοποιείτε έναν φορητό υπολογιστή στο σπίτι, στη δουλειά και σε μια καφετέρια. Μόλις εντοπιστεί κάποιο πιθανό ζήτημα από τους ελέγχους αυτούς, το Firefox θα απενεργοποιεί το DoH για το υπόλοιπο της περιόδου σύνδεσης στο δίκτυο, εκτός εάν ο χρήστης έχει ενεργοποιήσει την προτίμηση «Πάντα DoH», όπως αναφέρθηκε παραπάνω. Οι πρόσθετοι έλεγχοι που θα πραγματοποιούνται για το φιλτράρισμα περιεχομένου είναι οι εξής:
- Ανάλυση των τομέων canary ορισμένων γνωστών παρόχων DNS για τον εντοπισμό φιλτραρίσματος περιεχομένου.
- Ανάλυση των παραλλαγών ασφαλούς αναζήτησης των google.com και youtube.com, ώστε να διαπιστωθεί εάν το δίκτυο κάνει ανακατεύθυνση σε αυτές.
- Στα Windows και macOS, ανίχνευση των ενεργοποιημένων γονικών ελέγχων στο λειτουργικό σύστημα.
Οι πρόσθετοι έλεγχοι που θα εκτελούνται σε ιδιωτικά δίκτυα επιχειρήσεων είναι οι εξής:
- Έχει οριστεί σε true η προτίμηση security.enterprise_roots.enabled του Firefox;
- Έχει διαμορφωθεί οποιαδήποτε πολιτική επιχειρήσεων;