Vlákno názorů k článku Firefox začíná postupně zapínat DNS-over-HTTPS, umí ho i vypnout od Ondřej Surý - Jak vypnout automatické použití Mozilla DoH v lokální...

Jak vypnout automatické použití Mozilla DoH v lokální síti:

1. BIND 9 - lokální RPZ zóna, TL;DR následující konfigurace:

   options {
       response-policy { zone mozilla.rpz; } break-dnssec yes;
   };
   zone mozilla.rpz {
       type master;
       file "mozilla.rpz.db";
       allow-query { localhost; };
   };

   a mozilla.rpz.db bude obsahovat:

   $TTL    604800
   $ORIGIN mozilla.rpz.
   @   IN  SOA localhost. root.localhost. (1 604800 86400 2419200 604800 )
   @   IN  NS  localhost.
   use-application-dns.net CNAME .

   Stejnou RPZ zónu můžete použít i pro PowerDNS Recursor (a v blízké době i Unbound)
2. Unbound - již brzy RPZ, nebo přidat local-zone: "use-application-dns.net." always_nxdomain nebo local-zone use-application-dns.net static do konfigurace
3. Knot Resolver - přidat policy.add(po­licy.suffix(po­licy.DENY, {todname('use-application-dns.net.')})) do konfigurace
4. PowerDNS Recursor - buď použít RPZ nebo následující lua-dns-script:

   local uadns = newDN('use-application-dns.net')
   function preresolve(dq)
    if uadns == dq.qname then
      dq.rcode = pdns.NXDOMAIN
      return true
    end
    return false
   end

5. dnsmasq (např. Pi-hole) - do konfigurace přidáte

   server=/use-application-dns.net/

   nebo si počkáte na další verzi, kde to bude vypnuto standardně.

Výsledek pro A query pak musí vypadat takto:

ondrej@lo:~$ dig IN A use-application-dns.net

; <<>> DiG 9.11.8 <<>> IN A use-application-dns.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 45358
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;use-application-dns.net.   IN  A

;; Query time: 2 msec
;; SERVER: 2001:1ae9:100:b000:7c12:6d04:ec1d:1d70#53(2001:1ae9:100:b000:7c12:6d04:ec1d:1d70)
;; WHEN: Tue Sep 10 10:05:03 CEST 2019
;; MSG SIZE  rcvd: 52

a pro AAAA takto:

ondrej@lo:~$ dig IN AAAA use-application-dns.net

; <<>> DiG 9.11.8 <<>> IN AAAA use-application-dns.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 47159
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;use-application-dns.net.   IN  AAAA

;; Query time: 2 msec
;; SERVER: 2001:1ae9:100:b000:7c12:6d04:ec1d:1d70#53(2001:1ae9:100:b000:7c12:6d04:ec1d:1d70)
;; WHEN: Tue Sep 10 10:05:08 CEST 2019
;; MSG SIZE  rcvd: 52

Pekny postup.

Jednodussi je apt-get purge firefox. Protoze Mozilla sama oznamuje, ze to nastaveni klidne muze ignorovat.

Pokud je ten počítač pod přímou kontrolou, tak není co řešit (Firefox se dokonce přímo zeptá než default zapne). Ty NXDOMAIN mají za cíl změnit tento default pro celou síť. Návody pro různé implementace: https://github.com/agrover/global-canary/pull/3

10. 9. 2019, 16:30 editováno autorem komentáře