DNS-over-HTTPS включён по умолчанию в Firefox для пользователей из США

25 февраля 2020 года

Разработчики Firefox объявили о включении по умолчанию режима DNS поверх HTTPS (DoH, DNS over HTTPS) для пользователей из США. Шифрование DNS-трафика рассматривается как принципиально важный фактор защиты пользователей. Начиная с сегодняшнего дня во всех новых установках, выполненных пользователями из США, DoH активирован по умолчанию. Существующих пользователей из США планируется переключить на DoH в течение нескольких недель. В Евросоюзе и других странах активировать DoH по умолчанию пока не планируют.

После активации DoH пользователю выводится предупреждение, которое позволяет при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера. Вместо распределённой инфраструктуры резолверов DNS, в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа. В настоящее время предлагается работа через два DNS-провайдера - CloudFlare (по умолчанию) и NextDNS.

Изменить провайдера или отключить DoH можно в настройках сетевого соединения. Например, можно указать альтернативный сервер DoH "https://dns.google/dns-query(недоступная ссылка)" для обращения к серверам Google, "https://dns.quad9.net/dns-query(недоступная ссылка)" - Quad9 и "https://doh.opendns.com/dns-query(недоступная ссылка)" - OpenDNS. В about:config также предусмотрена настройка network.trr.mode, через которую можно изменить режим работы DoH: значение 5 полностью отключает DoH; 0 - применяется предлагаемый в браузере режим по умолчанию; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно.

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DoH не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Для отбора предлагаемых в Firefox провайдеров DoH сформулированы