У Mozilla ми вважаємо, що DNS через HTTPS (DoH) – це функція, необхідна для підвищення конфіденційності. Шифруючи запити DNS, DoH приховує ваші дані про перегляди від усіх, хто стоїть на мережевому шляху між вами і вашим сервером імен. Наприклад, використання стандартних запитів DNS у загальнодоступній мережі потенційно може розкрити кожен відвіданий вами сайт іншим користувачам мережі, а також оператору мережі. Ми закликаємо всіх використовувати DoH, але також визнаємо, що існує кілька обставин, за яких DoH може бути небажаним, а саме:
- Мережі, що використовують фільтрацію через розпізнавач DN за замовчуванням. Це може використовуватися для батьківського контролю або для блокування доступу до шкідливих сайтів.
- Мережі, які реагують на імена, які є приватними, і/або які дають відповіді, відмінні від загальнодоступних. Наприклад, компанія може розкривати тільки адресу програми, яка використовується співробітниками у внутрішній мережі.
Мережі можуть повідомляти Firefox про наявність таких спеціальних функцій, які можуть бути відключені при використанні DoH для розпізнавача доменних імен. Перевірка цих повідомлень буде діяти в Firefox, при включенні DoH за замовчуванням. Спочатку це відбудеться у США восени 2019 року, в Канаді – влітку 2021 року, а в Росії та Україні – у березні 2022 року. Якщо користувач вирішить увімкнути DoH вручну, сигнал із мережі буде проігноровано, і користувацькі налаштування будуть збережені.
Мережеві адміністратори можуть налаштувати свої мережі так, щоб вони інакше обробляли DNS-запити для домену canary, щоб повідомляти, якщо їхній локальний розпізнавач DNS реалізує спеціальні функції, які роблять мережу непридатною для DoH.
На додаток до вже зазначеного сигналу домену canary Firefox перевірить мережеві функції, несумісні з DoH, перш ніж включити його для користувача. Ці перевірки будуть виконуватися при запуску браузера і кожен раз при переході браузера в іншу мережу, наприклад, коли ноутбук використовується вдома, на роботі або в кафе. Якщо будь-яка з цих перевірок виявить на потенційну проблему, Firefox відключить DoH на частину мережевого сеансу, якщо користувач не включив параметр «DoH завжди», як згадувалося вище. Додаткові перевірки, які будуть виконані для фільтрування контенту:
- Дозвольте домени canary певних відомих провайдерів DNS, щоб виявити фільтрування вмісту.
- Дозвольте варіанти «безпечного пошуку» google.com і youtube.com, щоб визначити, чи перенаправляється до них мережа
- В Windows і macOS виявлення батьківського контролю, задіяного в операційній системі.
Додаткові перевірки, які будуть виконані для приватних корпоративних мереж, полягають у наступному:
- Чи встановлено значення true для параметра Firefox security.enterprise_roots.enabled?
- Чи є певні корпоративні налаштування?
