Wir von Mozilla glauben, dass DNS-über-HTTPS (DoH) eine der Funktionen ist, die jeder Nutzer anwenden sollte, um seine Privatsphäre besser zu schützen. Durch die Verschlüsselung der DNS-Anfragen verbirgt DoH diese Daten, sodass niemand im Netzwerkpfad zwischen Ihnen und Ihrem Nameserver darauf Zugriff hat. Bei Standard-DNS-Anfragen (ohne Verwendung von DoH) in einem öffentlichen Netzwerk ist es dagegen möglich, dass andere Nutzer dieses Netzwerks und der Netzwerkbetreiber sehen, welche Webseiten Sie besuchen. Obwohl wir grundsätzlich jeden Nutzer zur Verwendung von DoH ermutigen möchten, wissen wir auch, dass DoH unter bestimmten Umständen nicht sinnvoll ist, vor allem,
- wenn Netzwerke über den Standard-DNS-Resolver Netzwerkfilter implementieren. Das kann bei der Verwendung von Kindersicherungen geschehen oder um den Zugriff auf schädliche Websites zu verhindern,
- bei Netzwerken, die private Namensauflösung anbieten und/oder andere Antworten geben als die Antworten, die öffentlich zur Verfügung gestellt werden (z. B. kann ein Unternehmen die Adresse einer Anwendung nur offenlegen, wenn diese von seinen Mitarbeitern im internen Netzwerk aufgerufen wird).
Netzwerke können Firefox signalisieren, dass spezielle Funktionen (wie beispielsweise die oben genannten Funktionen) vorhanden sind, die bei Verwendung von DoH zur Auflösung von Domainnamen deaktiviert würden. Die Überprüfung auf diese Signalisierung wird in Firefox implementiert, wenn DoH standardmäßig für die Nutzer aktiviert ist. Diese standardmäßige Aktivierung für Firefox-Nutzer erfolgte zuerst im Herbst 2019 in den USA, im Sommer 2021 in Kanada und im März 2022 in Russland und der Ukraine. Hat ein Nutzer die manuelle Aktivierung von DoH gewählt, wird das Signal des Netzwerks ignoriert und stattdessen die Präferenz des Nutzers befolgt.
Netzwerkadministratoren können ihre Netzwerke so konfigurieren, dass DNS-Anfragen für eine Canary Domain anders behandelt werden, und dadurch signalisieren, dass ihr lokaler DNS-Resolver spezielle Funktionen enthält, durch die sich das Netzwerk nicht für das DoH-Protokoll eignet.
Zusätzlich zum oben beschriebenen „Canary Domain“-Signal prüft Firefox einige Netzwerkfunktionen, die nicht mit DoH kompatibel sind, bevor DoH für einen Nutzer aktiviert wird. Diese Funktionstests werden bei jedem Browserstart durchgeführt und sobald der Browser erkennt, dass er sich in einer neuen Netzwerkumgebung befindet (z. B. wenn ein Laptop zu Hause, am Arbeitsplatz oder in einem Café benutzt wird). Weist einer dieser Funktionstests auf ein mögliches Problem hin, deaktiviert Firefox DoH für die restliche Netzwerksitzung, es sei denn, der Nutzer hat die Einstellung immer DoH aktiviert (siehe oben).
Folgende zusätzliche Tests werden zur Erkennung von Inhaltsfilterung durchgeführt:
- Auflösung von bekannten „Canary Domains“ einiger DNS-Anbieter, um eine vorhandene Inhaltsfilterung zu erkennen,
- Auflösung der „Safe-Search“-Varianten von google.com und youtube.com, um festzustellen, ob das Netzwerk zu ihnen umleitet,
- Erkennen aktivierter Kindersicherungen bei den Betriebssystemen von Windows und macOS.
Folgende zusätzliche Tests werden zur Erkennung von privaten Unternehmensnetzwerken durchgeführt:
- Ist die Firefox-Einstellung security.enterprise_roots.enabled auf true gesetzt?
- Ist eine Unternehmensrichtlinie konfiguriert?
