2019年9月，Mozilla开始通过其可信递归解析器（TRR）计划在Firefox中发布基于HTTPS的DNS（DoH）。这项变更基于两个常见论点：a) 旧协议未考虑安全性和隐私性；b) 存在他人窥探用户搜索内容的风险。

技术层面，我对提供DoH功能没有异议，但质疑是否应将系统级控制权转移到Web层。真正令人担忧的是其默认启用的实现方式——未经用户同意即开启，并默认将Cloudflare作为DoH服务提供商。这意味着所有Firefox请求都将流向用户未自主选择的私营机构。

相比之下，Google的实施方案默认为关闭状态，并允许用户自选DoH提供商。

Mozilla DoH实施的影响

• 教育机构：校园DNS过滤系统将失效，学生可绕过恶意网站/色情内容拦截
• 家长控制：家庭网络防护工具形同虚设
• 企业安全：安全团队无法监控网络流量中的恶意行为
• 政府监管：阻碍ISP对儿童色情等非法内容的追责

应对方案

1. 网络级拦截：

   • 通过DNS查询"use-application-dns.net"返回NXDOMAIN或空记录
   • 注意：手动启用DoH的用户会绕过该限制

2. Firefox设置禁用：

   • 进入首选项 > 网络设置
   • 取消勾选"启用基于HTTPS的DNS"

3. 卸载Firefox：

   • 部分企业CISO考虑完全移除Firefox，视其为未经授权的VPN

技术演进争议

DNS作为互联网关键组件正在变革，技术社区对实现更安全私密的网络存在共识，但具体实施方式存在根本分歧。未来将深入探讨不同方案间的技术细节与社区政治因素。