Firefox將預設啟用DNS-over-HTTPS

Mozilla針對DNS-over-HTTPS（DoH）的實驗已經告一個段落，接下來他們會在Firefox中，以後饋（Fallback）模式預設啟用DoH，從9月底開始於美國逐步推出，僅會先為少數用戶啟用，確定可用後才會為更多使用者部署。

DNS-over-HTTPS是一個能夠以HTTPS加密解析網域名稱的協定，足以改善使用者的隱私安全，避免受到第三方監聽與操控。Mozilla從2017年的時候開始研究DoH協定，他們進行了一系列的實驗，確保DoH提供高效能與良好的使用者體驗，而大多數用戶也的確可以受惠於加密DNS流量的保護，Mozilla提到，有部分使用者已經先行啟用DoH功能，現在他們完成最後階段的實驗，修正細節後即將對更多使用者推出。

Mozilla公布他們最新的實驗結果，了解DoH與家長控制服務供應商，還有與企業裝置政策配置之間的搭配。Mozilla表示，經過實驗他們發現，DoH可能會影響家長控制與企業原本的網路配置，因此現在Firefox會在偵測到用戶啟動家長控制服務時禁用DoH，以及在企業環境預設禁用DoH。

Mozilla將與家長控制供應商合作，為阻擋列表增加了金絲雀網域，當Firefox確認金絲雀網域被阻擋，就能確認家長控制是在網路端執行，而非在單一電腦上運作，則Firefox將自動禁用DoH。

另外，在企業中，除非管理員明確啟用DoH，否則Firefox會尊重企業配置並禁用DoH，並且也會在水平分割配置（Split Horizon Configuration）或是其他DNS問題出現，導致DNS查詢失敗後，退回到作業系統預設DNS。

由於Firefox會以後饋模式部署DoH，也就是說當使用DoH域名查詢失敗，或是觸發了啟發式操作，則Firefox轉為使用系統預設的DNS，因此用戶不用擔心因為啟用DoH，而導致DNS查詢失敗的問題，因為Firefox仍會嘗試透過系統DNS找到正確的地址。

DNS-over-HTTPS弊大於利？荷蘭國家網路安全中心與亞太網路資訊中心相繼提出警告

就在Mozilla與Google相繼宣布要在Firefox與Chrome瀏覽器中導人DoH（DNS-over-HTTPS）之後，外界質疑的聲浪就不曾斷過，而近日荷蘭國家網路安全中心（NCSC）與亞太網路資訊中心（APNIC）亦出面批評DoH，前者聲稱DoH將讓組織更難執行安全控制，後者則說DoH不利隱私，呼籲外界不要對DoH有著過度期待。

DoH就是傳遞網域名稱系統（DNS）解析請求時採用HTTPS加密協定，而非使用標準的明文請求，因而可以避免使用者的請求受到審查、監控或遭到竄改，標榜能夠強化使用者的隱私與安全。

不過，這些特色同樣也帶來了困擾。例如NCSC便說，那些仰賴過濾機制來進行安全監控的組織或企業，將因此失去安全控制能力，而得將網域名稱解析的任務交給第三方，可能因此造成資訊外洩，曝露組織內部的資源命名，甚至破壞內部網路的連結。

而APNIC則說明，DNS（網域名稱系統）通常是由網路的操作者所提供，可能是ISP業者、可能是電信業者、可能是企業主，或者是邪惡的公開Wi-Fi，但DoH基本上只能阻止中間人攻擊，並無法阻止DNS伺服器供應商檢視、封鎖或竄改DNS資料。

此外，APNIC指出，其實在4種情況下使用者所造訪的網站都會以明文傳輸，DNS只是其中之一，有些瀏覽器允許使用者以HTTP提出請求，再轉至HTTPS；或者是TLS經常必須以明文傳輸使用者打算連結的網站名稱；為了確保TLS傳輸是有效的，瀏覽器與TLS會執行OCSP來查找CA供應商，而此一查找內容亦為明文；且研究顯示，有95%的網站只要透過IP位址就能確認它們的身分，且IP位址無法加密。

除了NCSC與APNIC之外，ZDNet也整理了許多安全研究人員對DoH的擔憂。除了上述的DoH並無法阻止ISP業者追蹤使用者、可能破壞組織的安全監控之外，還有人認為它會削弱網路安全，因為當把查詢流量加密之後，便無法再利用黑名單或查詢資料，來判斷使用者是否連結到惡意網站，因而助長網路犯罪。

Mozilla：ISP企圖在DNS over HTTPS上指鹿為馬

Mozilla周一致函給美國會議員指控美國電信業者企圖提供誤導資訊，藉此打壓DNS over HTTPS的發展。

DNS over HTTPS（DoH）是一個以HTTPS加密解析網域名稱的協定。Mozilla從2017年與Google等其他業者開始推動DoH協定的開發、標準化及部署。Mozilla和Google計畫在最新版Firefox及Chrome支援DNS over HTTPS。

Mozilla信賴與安全部門資深副總裁Marshall Erwin，在給國會能源與商務委員會、消費者保護暨通訊與科技次級委員會的信函指出，DoH可防止用戶上網活動遭受到第三方組織，包括DNS供應商、ISP、政府的監聽，或是販售用戶個資、GPS資訊謀利，但業者推動DoH的工作卻遭到反對，他特別點名電信業協會9月間致函國會議員的遊說文件，有諸多訛誤。

9月間行動電信產業協會（Cellular Telecommunication Industry Association，CTIA）、網際網路與電視協會（Internet and Television Association）及美國寬頻業者協會，致函美國眾議院司法、能源與商務、及國家安全委員會委員，請其審視Google Chrome對DoH的計畫。他們宣稱，Google計畫自動將Chrome及Android用戶流量導向其DNS查詢服務，由於全球有線及無線連網流量，都是經由Chrome瀏覽器及Android作業系統，Google將因此成為獨大的DNS查詢服務供應商。此外，ISP透過DNS服務提供的服務，像是兒童上網的家長控管、IoT管理、CDN服務、防範盜版及兒童不宜內容等，都會因為Google集中化加密DNS而窒礙難行。ISP並籲請委員們力阻Google在Chrome及Android預設集中化的加密DNS服務。

事實上，根據Google的說法，Chrome 78用戶所使用的DNS服務供應商若在Google的名單中，執行DNS請求時就會自動升級到DoH服務，若無則只會維持原本的DNS服務。Mozilla形容電信業者是擔心一個根本不存在的計畫。

至於Mozilla則是計畫將Firefox用戶預設導向Cloudflare的加密DNS服務。Erwin也強調Mozilla也對其設下嚴格要求，包括要求用戶資料只能保留DNS解析執行必要期間，也不能作為其他用途，而且第三方合作夥伴也必須提供清楚的隱私條款。反觀ISP的DNS服務對用戶資料的保留、使用及分享規範，反而經常曖眛不明。

其實，可能由於Firefox僅佔全球上網流量不到5%，因此美國ISP的批評並未提及Mozilla。但是今年7月，Mozilla也是因為DoH計畫，被英國ISP點名為首要網路惡棍。Mozilla則回應說，不會在英國推行這項服務。