Разработчики Mozilla намерены (https://groups.google.com/forum/#!msg/mozilla.dev.platform/_...) провести в ночных сборках (https://www.mozilla.org/en-US/firefox/channel/desktop/#nightly) Firefox тестирование (https://bugzilla.mozilla.org/show_bug.cgi?id=1446404) нового резолвера TTR (Trusted Recursive Resolver), предоставляющего возможность отправки DNS-запросов поверх HTTPS (DoH, DNS over HTTPS (https://tools.ietf.org/html/draft-ietf-doh-dns-over-https-02)). Тестирование планируют провести в режиме opt-out (по умолчанию включено, но пользователь может выключить).
DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров или для оганизации работы в случае невозможности прямого обращения к DNS-сервеам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API.
Проблема состоит в том, что для определённой категории пользователей Firefox Nightly при тестировании нового протокола все DNS-запросы по умолчанию планируется перенаправлять на сторонний DoH-сервер, который принадлежит компании Cloudflare. Запросы будут перенаправляться в режиме зеркалирования для сверки с работой штатного резолвера. Таким образом, Cloudflare сможет полностью контролировать информацию о хостах, которые открывают пользователи принимающие участие в тестировании. Так как тестирование будет активировано без явного согласия пользователей и потребует изменения настроек для отключения, подобный шаг может негативно сказаться на репутации Mozilla в области сохранения приватности.
В свете скандала с утечкой данных пользователей Facebook многие разработчики Mozilla выступили против проведения тестирования в изначально запланированном виде. Вместо активации без ведома пользователя предлагается выводить запрос с предложением принять участие в тестировании с обозначением всех возможных угроз, связанных с передачей данных посторонней компании, и активировать тест только если пользователь явно согласился с предложением.
Сторонники проведения тестирования в исходном виде утверждают, что приватность пользователей не пострадает, так как Mozilla заключила соглашение с Cloudflare в котором запрещено сохранение полученных от пользователей данных и их передача третьим лицам. Оппоненты парируют, что соглашение не защитит от утечек в результате ошибок (например, могут быть случайно оставлены логи) или злого умысла отдельных сотрудников.
В финальных выпусках Firefox начальная поддержка DoH ожидается в версии 60, но по умолчанию будет отключена и потребует явного изменения настроек в about:config. Настройка network.trr.mode=0 полностью отключат TRR; 1 - используется DNS или TRR, в зависимости от того, что быстрее; 2 - используется TRR по умолчанию, а DNS как запасной вариант; 3 - используется только TRR; 4 - режим зеркалирования при котором TRR и DNS задействованы параллельно. DoH-сервер определяется в настройке network.trr.uri, в настоящее время доступно два экспериментальных публичных сервера
"https://dns.cloudflare.com/.well-known/dns" и "https://dns.google.com/experimental".
URL: https://www.theregister.co.uk/2018/03/20/mozilla_firefox_tes.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48303
