Na Mozilla, nós acreditamos que «DNS sobre HTTPS» (DoH) é uma funcionalidade que todos deveriam utilizar para melhorar a própria privacidade. Ao encriptar estes pedidos de DNS, o DoH oculta os seus dados de navegação de qualquer pessoa no caminho da rede entre si e o seu servidor de nomes. Por exemplo, a utilização de consultas de DNS padrão numa rede pública pode potencialmente divulgar todos os websites visitados por si aos outros utilizadores na rede e bem como o operador da rede. Enquanto nós gostaríamos de incentivar toda a gente para utilizar o DoH, nós também reconhecemos que há algumas circunstâncias nas quais o DoH pode ser indesejável, a saber:
- Redes que implementaram algum tipo de filtragem por meio do resolvente de DNS predefinido. Isto pode ser utilizado para implementar controles parentais ou bloquear o acesso aos sites da Web maliciosos.
- Redes que respondem a nomes privados e/ou que fornecem respostas diferentes das fornecidas publicamente. Por exemplo, uma empresa pode expor apenas o endereço de uma aplicação utilizada pelos funcionários na sua rede interna.
As redes podem sinalizar ao Firefox que existem funcionalidades especiais, tais como estes que seriam desativados se o DoH fosse utilizado para a resolução de nomes de domínio. A verificação desta sinalização será implementada no Firefox quando o DoH estiver ativado por predefinição para os utilizadores. Isto irá acontecer primeiro para os utilizadores nos Estados Unidos no outono de 2019, no Canadá no verão de 2021 e na Rússia e Ucrânia em março de 2022. Se um utilizador optou por ativar o DoH manualmente, o sinal da rede será ignorado e a preferência do utilizador será respeitada.
Os administradores de rede podem configurar as suas redes para lidar com os pedidos de DNS para um domínio canary de maneira diferente, para sinalizar que o seu resolvente de DNS local implementou as funcionalidades especiais que tornam a rede inadequada para o DoH:
Além do sinal de domínio canary descrito acima, o Firefox executará algumas verificações de funcionalidades de rede incompatíveis com o DoH antes de o ativar para um utilizador. Estas verificações serão realizadas no arranque do navegador e sempre que o navegador detetar que foi movido para uma rede diferente, tal como quando um portátil é utilizado em casa, no trabalho e num café. Quando qualquer uma destas verificações indicar um potencial problema, o Firefox irá desativar o DoH para o resto da sessão de rede, a menos que o utilizador tenha ativado a preferência "Sempre DoH", conforme mencionado acima. As verificações adicionais que serão realizadas para a filtragem de conteúdo são:
- Resolver os domínios canary de determinados provedores de DNS conhecidos para detetar a filtragem de conteúdo.
- Resolver as variantes de "pesquisa segura" de google.com e de google.com para determinar se a rede os redireciona para os mesmos.
- No Windows e no macOS, detetar os controles parentais ativados no sistema operativo.
As verificações adicionais que serão realizadas nas redes privadas da empresa são:
- A preferência security.enterprise_roots.enabled do Firefox está definida para true?
- Está configurado qualquer política de empresas?
