基于HTTPS(DoH)和受信任的递归解析器(TRR)的Mozilla DNS注释期

2020-11-21 12:00:37

多年来,我们一直在努力更新和保护互联网最古老的部分之一,域名系统(DNS)。今年早些时候,我们为美国的Firefox用户推出了DNS中的隐私和安全技术解决方案(即HTTP-over-HTTPS(DoH)),这是这一努力的关键里程碑。鉴于这项技术的变革性质以及我们对透明性和协作的使命承诺,我们一直在寻求周全和包容性的DoH实施。因此,当我们探索如何将DoH的优势带给世界各地的Firefox用户时,我们今天将启动一个意见征询期,以帮助我们制定计划。

在解释我们的意见征询期之前,首先需要澄清有关DoH以及我们如何实施的一些内容:

域名系统(DNS)是一个共享的公共数据库,该数据库将诸如www.mozilla.org之类的人性化名称链接到一系列计算机友好的数字,称为IP地址(例如192.0.2.1)。 。通过在该数据库中执行“查找”,您的Web浏览器可以代表您查找网站。由于几十年前DNS最初是如何设计的,因此浏览器在对网站(甚至对加密的https://站点)进行DNS查找时,必须不加密就执行这些查找。

由于传统DNS中没有加密,因此沿途的其他实体可能会收集(甚至阻止或更改)此数据。这些实体可能包括您的Internet服务提供商(ISP)(如果您通过家庭网络进行连接),移动网络运营商(MNO)(如果您通过电话进行连接),WiFi热点供应商(如果您在咖啡店进行连接)甚至在某些情况下窃听者。

在Internet的早期,人们对这类威胁人们的隐私和安全的威胁是已知的,但尚未被利用。如今,我们知道未加密的DNS不仅容易受到间谍的攻击,而且正在被利用,因此我们正在帮助Internet转向更安全的替代方法。这就是DoH的来历。

遵循对HTTP流量进行加密的最佳实践,Mozilla与Internet工程任务组(IETF)的行业利益相关者合作,定义了一种称为RFC 8484中指定的称为HTTP over HTTPS或DoH的DNS加密技术(发音为“面团”)。您的DNS请求,并且响应通过HTTPS在设备和DNS解析器之间进行了加密。由于DoH是新兴的Internet标准,因此操作系统供应商和Mozilla以外的浏览器也可以实现它。实际上,谷歌,微软和苹果公司已经在各自的浏览器和/或操作系统中实施DoH或处于实施DoH的后期阶段,这成为帮助提高Web安全性的普遍标准成为时间问题。

Mozilla已将DoH部署到美国的Firefox用户,并作为其他地区的Firefox用户的选择功能。我们目前正在探索如何将部署扩展到美国以外。与Mozilla的使命一致,在我们推出此功能的国家/地区中,用户可以明确选择接受还是拒绝DoH,并采用默认启用的方向来保护用户的隐私和安全。

重要的是,除了简单的DNS查找加密外,我们的DoH部署还增加了一层用户保护。我们的部署包括一个受信任的递归解析器(TRR)程序,通过该程序,DoH查找仅路由到已做出具有法律约束力的承诺,以对用户数据采取额外保护(例如,将数据保留限制为运营目的并且不出售或共享)的DNS供应商。与其他方的用户数据)。 Firefox的DoH部署还旨在尊重ISP提供的家长控制服务(用户已选择该服务),并为其提供了与企业部署策略配合使用的技术。

在我们探索将DoH的好处带给更多用户的同时,我们正在启动一个意见征询期,以收集想法,建议和见解,以帮助我们在新区域中实现DoH的安全性和隐私增强收益的最大化。 。我们欢迎任何关心健康,权利保护和安全的Internet增长的人士做出贡献。

持续时间:全球公众意见征询期将持续45天,从2020年11月19日开始,至2021年1月4日结束。

受众:咨询对所有对全球更安全,开放和健康的互联网感兴趣的利益相关者开放。

咨询问题:此处提供了一组详细的问题,可作为咨询的框架。并非必须回答所有问题。

提交评论:所有回复都可以以纯文本格式或可访问的pdf格式提交给[email protected]

除非作者在提交回复的电子邮件中明确选择退出,否则所有真实的回复都将在我们的博客上公开提供。违反我们的社区参与准则的提交将不会被发布。

我们的目标是在全球ISP,MNO和企业的支持下,DoH在DNS中的普及程度与HTTPS在Web流量方面的普及程度相同,以帮助保护最终用户和DNS提供商本身。我们希望公众意见能够使我们更加接近该目标,并且我们希望在建立更健康的Internet方面听到世界各地利益相关者的意见。