火狐默认开启DoH:以隐私之名劫持所有DNS流量的争议

本文深入分析Mozilla在Firefox中默认启用DNS-over-HTTPS(DoH)的技术实现与影响,探讨其如何绕过本地网络控制,并为企业、学校及家庭用户提供应对方案。

Mozilla Introduces Mechanism to Hijack all DNS Traffic in the Name of Privacy

作者:Tony Perez | 2019年9月16日

2019年9月,Mozilla开始通过其可信递归解析器(TRR)计划在Firefox中发布DNS over HTTPS(DoH)。这一变更基于我们之前听到的主题:a)旧协议未考虑安全性和隐私;b)存在他人可查看您搜索内容的威胁。

这听起来很熟悉,我们在2014年至2018年谷歌推动的#httpseverywhere运动中看到了类似活动。在这两种情况下,这些组织都在试图解决我们所有人依赖的技术结构中的根本缺陷。不同之处在于解决问题的方式。

从技术上讲,我对提供DoH的想法没有异议。我质疑的是系统级控制是否应该转移到Web层。让我担忧的是他们的实施方式——他们默认启用它,而不询问用户。他们还与CloudFlare合作作为默认的DoH服务提供商;这意味着您在Firefox上发出的每个请求都将发送到一个用户未选择的私营组织。对我来说,这是挥舞信任旗帜的组织的严重信任 breach。

相比之下,谷歌的实施将默认设置为关闭。它还将允许用户选择他们喜欢的DoH提供商。

为什么您应该关心Mozilla的DoH实施

如果您负责控制网络上发生的情况,您应该非常关心。Mozilla的默认实施,缺乏更好的词汇,是一个虚拟专用网络(VPN),允许任何使用Firefox的人绕过网络上的任何控制。

几个例子说明这意味着什么:

  • 假设您是一所学校。您的学校WiFi上有数百名孩子。您已实施自己的DNS解析器以保护孩子免受恶意网站侵害或阻止他们访问色情或淫秽内容。这一新实施将使您的孩子现在可以绕过您的网络控制。
  • 假设您是一位家长。您担心孩子上网时访问的内容。您部署了一个网络工具来控制他们可以和不可以在网上访问的内容,同时抑制他们在网上的互动方式。这一新实施将使您的孩子现在可以绕过您的网络控制。
  • 假设您沉迷于色情。一个非常真实的问题。您在网络上部署控制以防止自己访问淫秽内容(对受影响者来说有时是不可控的)。这一新实施将使您现在可以绕过自己的网络控制。
  • 假设您是企业NOC内部的安全工程师。您的任务是分析流量以确保恶意流量不进入或流出。这一新实施将允许您网络上的任何人绕过您可能已有的任何控制。
  • 假设您是一个政府,试图实施新法规以让ISP对儿童色情和其他邪恶在线行为负责。这一新实施将阻止这一点。

这些只是几个粗略的例子,旨在强调Firefox所选部署的严重性。

您可以对Mozilla的实施做什么

如果您希望保留对网络的控制权,不允许Mozilla为您做出默认选择,您有几个选项:

选项1:利用默认禁用的网络内容过滤服务

如果您是家长、学校或大型组织,您可以使用基于云的DNS内容过滤服务(如CleanBrowsing)来帮助缓解这一变化。

如果您是大型企业,您可以向FireFox发出信号,表明您有特定的控制措施,并且应禁用DoH部署。

网络管理员可以如下配置其网络,以表明其本地DNS解析器实施了使网络不适合DoH的特殊功能。对域“use-application-dns.net”的A和AAAA记录的DNS查询必须响应:非NOERROR的响应代码,如NXDOMAIN(不存在的域)或SERVFAIL;或响应NOERROR,但不返回A或AAAA记录。

请注意其发布说明中这一非常重要的警告:如果用户选择手动启用DoH,来自网络的信号将被忽略,用户的偏好将得到尊重。根据您组织对此的立场,您可能要考虑选项3。

选项2:在Firefox中禁用DNS-over-HTTPS

您可以在Firefox连接设置中禁用DoH:

  1. 单击菜单按钮并选择“首选项”。
  2. 在“常规”面板中,向下滚动到“网络设置”并单击“设置…”按钮。
  3. 在打开的对话框中,向下滚动到“启用DNS over HTTPS”。
    • 开启:选中“启用DNS over HTTPS”复选框。选择提供商或设置自定义提供商。
    • 关闭:取消选中“启用DNS over HTTPS”复选框。
  4. 单击“确定”保存更改并关闭窗口。

选项3:移除Firefox

尽管这个选项听起来很极端,但我已与一些企业CISO交谈过,他们正在考虑从其网络中移除Firefox。他们的理由围绕两个不同的立场:浏览器假设过多控制权并将Firefox视为VPN。这似乎是他们有意走向的方向。

网络关键部分——DNS的演变

网络的一个关键部分正在演变,对于大多数消费者来说,您不了解或欣赏这意味着什么,但其影响可能是巨大的。

无论您站在哪一边,技术人员都有一个共同的愿望,即确保一个更安全、更私密的网络;然而,问题是如何实施它。

我将在未来的文章中更深入地探讨社区政治的具体细节以及选项之间的技术细节。如果您绝对等不及,我鼓励您阅读我的GoDaddy同事Brian Dickson与我们DNS团队的一篇精彩文章——DNS-over-HTTPS: Privacy and Security Concerns

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次