Mozilla ritiene che DNS over HTTPS (DoH) sia una funzionalità che tutti dovrebbero utilizzare per migliorare la propria privacy. Crittografando le richieste DNS, il protocollo DoH nasconde i dati di navigazione degli utenti a chiunque si trovi sul percorso di rete tra l'utente e il suo nameserver. Ad esempio, l'utilizzo di query DNS standard su una rete pubblica può potenzialmente rivelare ad altri utenti della rete e all'operatore di rete tutti i siti web visitati. Sebbene Mozilla desideri incoraggiare tutti a utilizzare il protocollo DoH, è anche consapevole che esistono alcune circostanze in cui tale protocollo può non essere gradito, vale a dire:
- Reti che hanno implementato una sorta di filtro tramite il risolutore DNS predefinito. Può essere utilizzato per attivare il controllo parentale o per bloccare l'accesso a siti web pericolosi.
- Reti che rispondono a nomi che sono privati e/o che forniscono risposte diverse da quelle fornite pubblicamente. Ad esempio, una società può esporre solo l'indirizzo di un'applicazione utilizzata dai dipendenti sulla propria rete interna.
Le reti possono segnalare a Firefox che esistono funzioni speciali come queste e che tali funzioni verrebbero disattivate se il protocollo DoH venisse utilizzato per la risoluzione dei nomi di dominio. Il controllo di queste segnalazioni verrà implementato in Firefox quando il protocollo DoH verrà attivato per impostazione predefinita per gli utenti. Ciò accadrà per la prima volta per gli utenti negli Stati Uniti nell'autunno del 2019, in Canada nell'estate 2012 e in Russia e Ucraina nel mese di marzo 2022. Se un utente ha scelto di attivare manualmente il protocollo DoH, il segnale dalla rete verrà ignorato e le preferenze dell'utente verranno rispettate.
Gli amministratori di rete possono configurare le loro reti per trattare le richieste DNS per un dominio canary ("canary domain") in modo diverso, per segnalare che il loro risolutore DNS locale ha implementato funzionalità speciali che rendono la rete inadatta per il protocollo DoH.
Oltre al segnale del dominio "canary" sopra descritto, in Firefox verranno eseguite alcune verifiche per le funzionalità di rete incompatibili con il protocollo DoH prima di attivarlo per un utente. Questi controlli verranno eseguiti all'avvio del browser e ogni volta che il browser rileva che il computer utilizzato è stato spostato su una rete diversa, ad esempio quando un laptop viene utilizzato a casa, al lavoro e in un Internet Point. Quando uno di questi controlli indica un potenziale problema, in Firefox verrà disattivato il protocollo DoH per il resto della sessione di rete, a meno che l'utente non abbia attivato la preferenza per utilizzare sempre il protocollo DoH come indicato in precedenza.
Le verifiche aggiuntive che verranno eseguite per il filtro contenuti sono:
- Risoluzione dei domini "canary" di alcuni provider DNS noti, al fine di rilevare la presenza di filtri per i contenuti.
- Risoluzione delle varianti di "safe-search" (ricerca sicura) di google.com e youtube.com per determinare se la rete reindirizza a loro.
- Verifica della presenza di controlli parentali attivi nel sistema operativo (Windows e macOS).
Le verifiche aggiuntive che verranno eseguite per le reti "enterprise" (aziendali) private sono:
- Valore della preferenza di Firefox security.enterprise_roots.enabled impostato come true.
- Configurazione di criteri per le aziende.
