Pour indiquer que leur résolveur DNS local met en œuvre des fonctionnalités spéciales qui rendent leur réseau inadapté au DNS via HTTPS (DoH, en anglais), les personnes qui administrent un réseau peuvent le configurer afin de modifier les requêtes DNS en tenant compte du domaine spécial use-application-dns.net, appelé domaine canari.
Firefox tente de résoudre ce domaine en utilisant le ou les serveurs DNS configurés dans le système d’exploitation de l’appareil et en examine le résultat qui est considéré comme négatif si :
- un code de réponse autre que NOERROR est retourné, tel NXDOMAIN (domaine inexistant) ou SERVFAIL ;
- un code de réponse NOERROR est retourné, mais ne contient ni enregistrement A ni enregistrement AAAA.
Le résultat est considéré comme positif si la requête se termine par NOERROR et contient des enregistrements A ou AAAA (ou les deux).
Un résultat négatif est un signal pour désactiver le DNS de l’application, le DoH dans le cas présent.
L’utilisation de ce domaine est préconisée par Mozilla, à titre de mesure limitée dans le temps, jusqu’à ce qu’une méthode permettant de signaler la présence d’un filtrage de contenu basé sur le DNS soit définie et adoptée par un organisme de normalisation d’Internet.