Mozilla将逐步为Firefox美国用户启用https之上的dns
Mozilla计划于本月晚些时候启动Firefox浏览器中为少量用户启用对DNS-over-HTTPS(DOH)协议的支持。
自2017年以来,浏览器制造商一直在Firefox中测试DOH支持。最近的一项实验发现,没有任何问题,Mozilla计划在Firefox主版本中启用DOH,以实现较小的用户百分比,然后如果没有出现任何问题,则可以使其成为更广泛的受众。
"如果一切顺利,我们会让您知道当我们准备好100%的部署时,"说,Mozilla的Firefox工程高级总监SelenaDeckermann。
DOH(IETFRFC84.84)允许Firefox向特定DOH兼容的DNS服务器(称为DOH解析器)发送DNS请求作为正常的HTTPS流量。基本上,它隐藏了在正常的HTTPS数据洪流中的DNS请求。[DoH不加密DNS请求。这是一个不同的协议,即dns-over-tls,akadot]。
默认情况下,Firefox附带支持通过CloudFlare的DOH解析器中继加密的DOH请求,但用户可以将其更改为希望的任何DOH解析器[请参见此处]。
在Firefox中启用DOH支持时,浏览器将忽略操作系统中设置的DNS设置,并使用浏览器设置的DOH解析器。
通过将DNS服务器设置从OS移动到浏览器级别,并且通过加密DNS流量,DOH有效地隐藏了来自Internet服务提供商(ISP)、本地家长控制软件、防病毒软件、企业防火墙和流量过滤器的DNS流量,以及试图拦截和嗅探用户的流量的任何其他第三方。
当Mozilla宣布它在Firefox中支持DOH时,隐私倡导者很高兴,出于好的原因,因为DOH将允许持不同政见者和其他被压迫的团体绕过在oppremitive制度中设置的Web流量过滤器。
但是,由于上面列出的问题,DOH支持没有被视为企业环境和ISP中的一个受欢迎的技术解决方案。
ISP监视DNS流量,以便过滤坏站点的流量、强制合法授权的站点块,或收集用户的浏览历史,以重新销售给广告商。
使用DOH,他们不再可以浏览DNS流量了。
7月,一个名为mozillaan"网络反派"的英国ISP为Firefox添加DOH支持。ISP认为他们无法过滤虐待儿童站点的流量,因为DOH将允许用户绕过它放置在适当位置的任何过滤器。
在大规模的公众强烈抗议之后,ISP后来取消了对Mozilla的呼叫,Mozilla已经宣布,在英国的Firefox用户默认情况下,它不会支持DOH支持。
提供企业流量过滤解决方案的公司也批评了该协议,他们说该协议可以充当防火墙旁路机制。
恶意软件作者还发现DOH是一个有吸引力的协议,并已开始使用它来恶意DNS流量,并成功地绕过企业级安全系统。
Mozilla当然还没有听到最后的讨论。展望未来,这家浏览器制造商表示,将尽量避免造成任何问题。
对于启动器,Mozilla说,在默认为用户启用DOH之后,Firefox将包含一个机制来检测任何本地家长控制软件或企业配置的存在。
如果发现了任何情况,Firefox将自动禁用DOH,因此浏览器不会绕过家长控制或企业配置以及有意为用户设置的流量过滤器“安全性”。
此外,Mozilla还与ISP合作,以确保用户不会使用DOH作为绕过合法设置的块列表的方式。
该组织表示,它一直在要求ISP和基于网络的家长控制解决方案提供商将一个"加那利域"添加到它们的块列表中。当Firefox检测到该金丝雀域被阻塞时,它将禁用DOH以防止该特征被用作绕过过滤器的解决方案。