V Mozille věříme, že DNS over HTTPS (DoH) je funkce, kterou by měl každý používat ke zvýšení svého soukromí. Šifrováním těchto DNS požadavků DoH skrývá data z vašeho brouzdání před kýmkoliv na síťové cestě mezi vámi a vaším jmenným serverem. Například použití standardních DNS dotazů ve veřejné síti může potenciálně prozradit jiným uživatelům v síti i provozovateli sítě každý web, který navštívíte. I když bychom rádi každého podnítili k tomu, aby používal DoH, uznáváme rovněž, že existuje pár situací, při nichž může být DoH nežádoucí, a sice:
- Sítě, které mají implementován nějaký druh filtrování pomocí výchozího DNS resolveru. To může sloužit k implementaci rodičovských kontrol nebo k blokování přístupu ke škodlivým webům.
- Sítě, které odpovídají na jména, která jsou soukromá a/nebo které poskytují odlišné odpovědi, než jaké jsou poskytovány veřejně. Například společnost může odhalit pouze adresu aplikace používané zaměstnanci v jejich interní síti.
Sítě mohou dát Firefoxu signál, že jsou zavedeny speciální funkce, jako jsou tyto, které by v případě, že by se pro překlad doménových jmen použil DoH, byly potlačeny. Kontrola této signalizace bude ve Firefoxu implementována, až bude DoH uživatelům zapnut ve výchozím nastavení. To se stane nejprve uživatelům ve Spojených státech na podzim roku 2019, v Kanadě v létě roku 2021 a v Rusku a na Ukrajině v březnu roku 2022. Pokud se uživatel rozhodl ručně zapnout DoH, bude nastavení uživatele respektováno a signál od sítě bude ignorován.
Správci sítí mohou nakonfigurovat své sítě tak, aby s DNS požadavky na kanárkovou doménu zacházely odlišně a signalizovali tak, že jejich místní DNS resolver implementoval speciální funkce, kvůli kterým je síť nevhodná pro DoH.
Kromě výše popsaného signálu skrze kanárkovou doménu provede Firefox před zapnutím DoH uživateli ještě některé kontroly na síťové funkce, které nejsou kompatibilní s DoH. Tyto kontroly budou provedeny při spuštění prohlížeče a pokaždé, když prohlížeč zjistí, že se přesunul do jiné sítě, například když se notebook používá doma, v práci a v kavárně. Když některá z těchto kontrol ukáže na potenciální problém, Firefox DoH na zbytek relace v dané síti zakáže, pokud uživatel nezapnul v předvolbách DoH permanentně, jak je zmíněno výše. Další kontroly, které budou prováděny pro případ filtrování obsahu, jsou:
- Překlad kanárkových domén některých známých poskytovatelů DNS za účelem detekce filtrování obsahu.
- Překlad variant domén google.com a youtube.com používajících „bezpečné vyhledávání“ za účelem zjištění, zda na ně síť přesměrovává.
- Ve Windows a macOS detekce zapnuté rodičovské kontroly v operačním systému.
Další kontroly, které budou prováděny pro případ privátní „podnikové“ sítě, jsou:
- Je předvolba Firefoxu security.enterprise_roots.enabled nastavena na true?
- Jsou nastaveny nějaké podnikové zásady?
