Mozilla pracuje na protokolu DNS-over-HTTPS (DoH) od roku 2017 a od roku následujícího pak umožňuje uživatelům protokol testovat. Proběhlo několik experimentů, například bylo možné si DoH vyzkoušet proti serverům Cloudflare. Od konce loňského roku je pak podpora součástí stabilního vydání a stačí ji zapnout.

Pokud netušíte, co to DNS-over-HTTPS je, pak vězte, že jde o snahu obejít služby operačního systému a požadavky na DNS vyřizovat přímo v prohlížeči. Je pak možné před provozovatelem sítě skrýt i samotný DNS provoz a tím zamezit jeho sledování či modifikaci. Detaily naleznete v článku: DNS over HTTPS: nový standard pro bezpečné a soukromé DNS

Podle čísel zveřejněných samotnou Mozillou si tento způsob používání DNS zvolilo v nastavení 70 000 uživatelů Firefoxu. Mezi tím se z DoH stal standard, Mozilla vytvořila pravidla pro důvěryhodné resolvery a zatím skrytě vše implementoval i prohlížeč Chrome. Výsledek je podle Mozilly natolik úspěšný, že je čas postoupit do další fáze a začít podporu zapínat běžným uživatelům.

Opatrně a ne vždy

Experimenty ukázaly, že existují prostředí, ve kterých není vhodné DoH slepě uživatelům zapínat. Zaznívalo to ostatně i často v různých internetových diskusích: například rodičovská kontrola či firemní prostředí jsou oblasti, kde je legitimní nahlížet do DNS provozu a jeho plné šifrování může situaci rodiče či správce výrazně zkomplikovat.

Proto chce Mozilla tyto situace respektovat a například při zapnutí zmíněné rodičovské kontroly DoH vypnout a přejít na klasické DNS využívající služeb operačního systému. Přítomnost takového filtru na síti bude detekována pomocí speciálního doménového jména use-application-dns.net , které v případě filtrované sítě musí vrátit NXDOMAIN namísto běžných záznamů. Doméně se říká kanárková, protože, stejně jako kdysi kanárci v dolech, má za úkol detekovat problémy.

Aby taková možnost nemohla být jednoduše zneužitelná, bude mít vždy hlavní slovo uživatel, který může v nastavení zvolit, že chce za všech okolností použít DoH. Ve firemním prostředí bude dokonce šifrování ve výchozím stavu vypnuté a zapne se teprve tehdy, když o to správce explicitně požádá. Předpokládá se, že správce zná poměry v síti a ví, že se změnou nic nerozbije.

Součástí plánu je také detekce nefunkčních stavů způsobených konfigurací místní infrastruktury DNS. Pokud tedy prohlížeč zjistí například různé odpovědi od místního a vzdáleného serveru, bude schopen přejít zpět do původního režimu a spolehnout se na klasické DNS. Typickým příkladem může být například split horizon, kdy DNS poskytuje různé odpovědi typicky podle zdrojové IP adresy tazatele. DNS resolver ve vnitřní síti tak dostane jinou odpověď než externí resolver oslovovaný prohlížečem skrze DoH.

Od konce září, zatím jen někomu

Plány mají už zcela konkrétní obrysy a Mozilla se rozhodla, že začne uživatelům zapínat DoH už na konci září. V první fázi bude aktivace probíhat jen u malého procenta uživatelů, navíc jen ve Spojených státech. Prohlížeč bude navíc uživatele o změně aktivně informovat a nabídne mu možnost přejít zpět na klasický protokol DNS.

Jde tak vlastně o další experiment, při kterém budou vývojáři neustále vyhodnocovat situaci. Zajímat je bude zejména to, zda někde přechod na DoH nezpůsobil výpadek. Mnoho našich experimentů ukázalo, že jde o spolehlivou službu s dobrým výkonem, u které umíme detekovat a vyřešit klíčové problémy, píše Selena Deckelmannová z Mozilly o dalších plánech.