Mozilla计划默认在Firefox浏览器中支持DNS-over-HTTPS（DoH）协议

Mozilla计划默认在Firefox浏览器中支持DNS-over-HTTPS(DoH)协议，为本月晚些时候开始的少数美国用户提供支持。

该浏览器制造商自2017年以来一直在测试Firefox中的DoH支持。最近的一项实验没有发现任何问题，Mozilla计划在一小部分用户的主要Firefox版本中启用DoH，然后在没有问题的情况下为更广泛的受众启用DoH 。

Mozilla的Firefox工程高级总监Selena Deckelmann说： “如果情况良好，我们会在准备好100%部署时告知您。”

什么是DOH?

卫生部(IETF RFC8484)允许火狐发送DNS请求为正常的前瞻性HTTPS流量特殊卫生部兼容的DNS服务器(称为卫生部解析器)。基本上，它会在正常泛滥的HTTPS数据中隐藏DNS请求。[DoH不加密DNS请求。这是一个不同的协议，即DNS-over-TLS，又名DoT。

默认情况下，Firefox支持通过Cloudflare的DoH解析器中继加密的DoH请求，但用户可以将其更改为他们想要的任何DoH解析器[ 请参阅此处 ]。

在Firefox中启用DoH支持时，浏览器将忽略操作系统中设置的DNS设置，并使用浏览器设置的DoH解析程序。

通过将DNS服务器设置从操作系统移动到浏览器级别，并通过加密DNS流量，DoH有效地隐藏来自互联网服务提供商(ISP)，本地家长控制软件，防病毒软件，企业防火墙和流量过滤器的DNS流量，以及任何试图拦截和嗅探用户流量的其他第三方。

DOH争议

当Mozilla宣布它正在努力支持Firefox中的DoH时，隐私权倡导者欢欣鼓舞，并且有充分的理由，因为DoH会允许持不同政见者和其他受压迫群体绕过在压迫政权中设置的网络流量过滤器。

但由于上面列出的问题，DoH支持在企业环境和ISP中并未被视为受欢迎的技术解决方案。

ISP会监控DNS流量，以过滤不良网站的流量，强制执行法律规定的网站阻止，或收集用户的浏览历史记录，以便转售给广告客户。

使用DoH，他们无法再窥视DNS流量。

今年7月，一家英国互联网服务提供商将Mozilla称为“互联网恶棍”，为Firefox添加了DoH支持。ISP认为他们无法过滤虐待儿童网站的流量，因为DoH会允许用户绕过它放置的任何过滤器。

在大规模的公众强烈反对之后，互联网服务提供商后来放弃了将Mozilla称为互联网恶棍的行为，并且Mozilla宣布它不会默认为英国的Firefox用户提供DoH支持。

提供企业流量过滤解决方案的公司也批评了协议，他们说协议可以作为防火墙旁路机制。

恶意软件作者还发现DoH是一个有吸引力的协议，并已开始将其用于恶意DNS流量并成功绕过企业级安全系统。

FIREFOX尊重企业过滤器和家长控制

Mozilla当然没有听过最后一次讨论。展望未来，浏览器制造商表示将尽力避免造成任何问题。

对于初学者，Mozilla表示，默认情况下，对美国用户开启DoH后，Firefox将包含一种机制来检测是否存在任何本地家长控制软件或企业配置。

如果发现任何问题，Firefox将自动禁用DoH，因此浏览器不会绕过为了用户安全而故意设置的家长控制或企业配置和流量过滤器。

此外，Mozilla还与ISP合作，确保用户不会使用DoH作为绕过合法设置阻止列表的方法。

该组织表示，它一直在要求互联网服务提供商和基于网络的家长控制解决方案的提供商为其阻止列表添加“金丝雀域”。当Firefox检测到该canary域被阻止时，它将禁用DoH以防止该功能被用作过滤器旁路解决方案。