Mozilla计划从本月晚些时候开始为少数美国用户在Firefox浏览器中默认启用对HTTP-over-HTTPS(DoH)协议的支持。

自2017年以来，这家浏览器制造商就一直在测试Firefox对DoH的支持。最近的一项试验没有发现任何问题，Mozilla计划在主要Firefox版本中为一小部分用户启用DoH，然后在没有问题的情况下为更多的用户启用DoH。 。

Mozilla Firefox工程高级总监Selena Deckelmann说： “如果一切顺利，我们将在100%部署准备就绪时通知您。”

什么是卫生部?

卫生部(IETF RFC8484)允许火狐发送DNS请求为正常的前瞻性HTTPS流量特殊卫生部兼容的DNS服务器(称为卫生部解析器)。基本上，它将DNS请求隐藏在普通的HTTPS数据中。[DoH不加密DNS请求。那是一个不同的协议，即DNS-over-TLS，又名DoT ]。

在Firefox中启用DoH支持时，浏览器将忽略操作系统中设置的DNS设置，并使用浏览器设置的DoH解析器。

通过将DNS服务器设置从操作系统移至浏览器级别，并通过对DNS流量进行加密，DoH可以有效地隐藏来自Internet服务提供商(ISP)，本地父母控制软件，防病毒软件，企业防火墙和流量过滤器以及任何其他内容的DNS流量。试图拦截和嗅探用户流量的其他第三方。

卫生部争议

当Mozilla宣布正在为Firefox中的DoH提供支持时，隐私倡导者为此感到欣喜，这是有充分的理由的，因为DoH允许异议人士和其他受压迫的团体绕开在压制性政权中设置的网络流量过滤器。

但是由于上述问题，在企业环境和ISP中，DoH支持并未被视为受欢迎的技术解决方案。

ISP监视DNS流量，以过滤不良站点的流量，强制执行法律强制性的站点阻止或收集用户的浏览历史记录，然后再转售给广告客户。

有了DoH，他们再也无法窥视DNS流量了。

7月，英国ISP将Mozilla称为“互联网反派”，用于为Firefox添加DoH支持。ISP争辩说，他们无法过滤虐待儿童站点的流量，因为DoH允许用户绕过它放置的所有过滤器。

在大规模的公众反对之后，ISP后来撤回了称Mozilla为互联网恶棍的权利，Mozilla宣布默认情况下不会为英国的Firefox用户启用DoH支持。

提供企业流量过滤解决方案的公司也批评了该协议，他们说该协议可以充当防火墙绕过机制。

恶意软件作者还发现DoH是一种有吸引力的协议，并已开始将其用于恶意DNS流量并成功绕过企业级安全系统。

FIREFOX尊重企业过滤器和家长控制

Mozilla当然没有听完这些讨论的最后一部分。浏览器制造商表示，今后将努力避免引起任何问题。

首先，Mozilla表示，在默认情况下为美国用户打开DoH之后，Firefox将包含一种机制来检测是否存在任何本地家长控制软件或企业配置。

如果找到任何内容，Firefox将自动禁用DoH，因此浏览器将不会绕过为用户安全而故意设置的家长控制或企业配置和流量过滤器。

此外，Mozilla还与ISP合作，以确保用户不会将DoH用作绕过合法设置的阻止列表的一种方式。

该组织表示，一直在要求ISP和基于网络的父母控制解决方案的提供商向其阻止列表添加“ canary域”。当Firefox检测到该金丝雀域被阻止时，它将禁用DoH，以防止将该功能用作绕过过滤器的解决方案。