在 Mozilla,我们相信 基于 HTTPS 的 DNS(DoH) 是一项人人都应使用以保护隐私的功能。通过加密 DNS 请求,DoH 能够保护从你到域名服务器间的浏览数据免于第三方的窃听。相比之下,普通的 DNS 请求可能会将你所访问的每个网站的域名泄露给网络中的其他用户或是网络管理员。虽然我们鼓励每位用户使用 DoH,我们也明白在一些情况下 DoH 并不是一个好的选择。这些情况可能包括:
- 你的网络在默认的 DNS 解析器端启用了某种过滤。这种过滤可被用于实现家长控制或者阻止对恶意网站的访问。
- 你所在的网络提供对私有名称或域名的解析,或是网络内部的解析结果与公开的结果不同。比如,一些公司可能仅会在局域网内提供对于内部服务的地址解析。
这些网络可以向 Firefox 作出指示,说明启用 DoH 会影响一些特殊的功能。在 DoH 对于所有用户默认启用后,Firefox 将会自动查询这一指示。DoH 的全面启用将首先于 2019 年秋季在美国、2021 年夏季在加拿大、2022 年 3 月在俄罗斯和乌克兰展开。如果用户选择了手动启用 DoH,网络的指示将会被忽略以尊重用户的选择。
网络管理员可以对 canary 域名 的 DNS 请求做出不同的配置,来提示本地 DNS 服务器启用了特定功能而导致 DoH 不适合该网络。
除了上述的 canary 域名记录检测之外,Firefox 也会在向用户启用 DoH 前进行一些对于可能的不兼容性的检测。这些检测会在每次浏览器启动以及网络状态变化(比如,笔记本从家中移动到了咖啡店,或是工作地点)时进行。只要任一检测表明存在潜在的问题,Firefox 将会在使用该网络期间禁用 DoH(除非用户手动启用了上文中提到的“一直开启 DoH”的偏好设置)。
对内容过滤的额外检测是:
- 对于一些已知 DNS 提供商的“canary 域名”进行解析来检测内容过滤。
- 对于 google.com 和 youtube.com 的“SafeSearch”版本进行解析来检测是否存在重定向。
- 在 Windows 和 macOS 上检测操作系统的家长控制功能是否启用。
对于私有(企业)网络的额外检测是:
- Firefox 的 security.enterprise_roots.enabled 偏好设置是否设置为 true?
- 是否配置了 企业政策?