Els desenvolupadors del Firefox van anunciar la finalització de les proves de suport de DNS a través d'HTTPS (DOH) així mateix com la intenció a finals de setembre d'habilitar aquesta tecnologia per defecte per als usuaris de Firefox en els Estats Units.
La inclusió es durà a terme progressivament ja que de manera inicial només seran pocs usuaris, després d'això en absència de problemes, augmentarà gradualment fins que el 100% dels usuaris als Estats Units compten amb aquesta característica. Però això no és exclusiu de la regió ja que després de completar la cobertura d'EE. UU. també es considerarà la implementació en altres països.
Les proves realitzades durant l'any van mostrar la fiabilitat i el bon rendiment de l'servei i també van revelar algunes situacions en què Doh pot generar problemes i desenvolupar solucions per a eludir-(per exemple, problemes amb l'optimització de el trànsit a les xarxes de lliurament de contingut, el control parental i el control intern corporatiu).
La importància de xifrar el tràfic DNS s'avalua com un factor fonamentalment important en la protecció dels usuaris, de manera que es va decidir activar Doh per defecte, però en la primera etapa només per a usuaris dels EE. UU.
Després d'activar Doh, s'emetrà un advertiment per a l'usuari, Que li permetrà negar-se a posar-se en contacte amb servidors DNS centralitzats de Doh i tornar a l'esquema tradicional per enviar sol·licituds no encriptades a servidor DNS de proveïdor (en lloc de la infraestructura distribuïda de solucionadors de DNS, Doh utilitza l'enllaç a un servei Doh específic, que pot considerar-se com un únic punt de falla).
Quan DOH està activat, els sistemes de control parental i les xarxes corporatives poden veure afectats, utilitzant l'estructura de noms DNS disponible només per a la xarxa interna per convertir adreces d'intranet i hosts corporatius.
Per resoldre problemes amb sistemes similars, s'ha afegit un sistema de verificació que deshabilita automàticament Doh. Les comprovacions es realitzen cada vegada que s'inicia el navegador o quan es detecta un canvi en la subxarxa.
També es proporciona un retorn automàtic a l'ús d'un solucionador estàndard de el sistema operatiu en cas de falles a l'resoldre a través d'Doh (per exemple, si hi ha una violació de la disponibilitat de la xarxa amb el proveïdor de Doh o si hi ha falles en la seva infraestructura).
El significat de tals comprovacions és dubtós, ja que ningú interfereix amb els atacants que controlen el resolutor o poden interferir amb el trànsit, simulen aquest comportament per desactivar el xifrat de l'trànsit DNS.
El problema es va resoldre afegint l'element «Doh always» a la configuració (per defecte no està actiu), quan es configura, no s'aplica el apagada automàtica, la qual cosa és un compromís raonable.
Per determinar els solucionadors corporatius, es realitzen comprovacions de dominis atípics de primer nivell (TLD) i la devolució d'adreces d'intranet per part de l'solucionador de el sistema.
Per determinar si el control parental està habilitat, s'intenta resoldre el nom exampleadultsite.com i si el resultat no coincideix amb la IP real, es considera que el contingut per a adults està bloquejat en el nivell DNS.
El treball a través d'un únic servei Doh també pot conduir a problemes d'optimització de l'trànsit en les xarxes de lliurament de contingut que equilibren el trànsit utilitzant DNS (servidor DNS de la xarxa CDN genera una resposta basada en la direcció de resolució i emet el host més proper per rebre el contingut).
L'enviament d'una consulta DNS des del solucionador més proper a l'usuari en tals CDN tornarà la direcció de l'host més proper a l'usuari, però a l'enviar una consulta DNS des del resolutor central, es tornarà la direcció de l'host més proper a servidor DNS sobre HTTPS .
Les proves a la pràctica van mostrar que l'ús de DNS sobre HTTP quan s'usa CDN pràcticament no va conduir a demores abans de la transferència de contingut (per a connexions ràpides, les demores no van superar els 10 milisegons, i fins i tot es va observar una operació més lenta en canals de comunicació lents).
font: https://blog.mozilla.org/