基于HTTPS（DoH）和受信任的递归解析器（TRR）的Mozilla DNS注释期

多年来，我们一直在努力更新和保护互联网最古老的部分之一，域名系统（DNS）。今年早些时候，我们为美国的Firefox用户推出了DNS中的隐私和安全技术解决方案（即HTTP-over-HTTPS（DoH）），这是这一努力的关键里程碑。鉴于这项技术的变革性质以及我们对透明性和协作的使命承诺，我们一直在寻求周全和包容性的DoH实施。因此，当我们探索如何将DoH的优势带给世界各地的Firefox用户时，我们今天将启动一个意见征询期，以帮助我们制定计划。

在解释我们的意见征询期之前，首先需要澄清有关DoH以及我们如何实施的一些内容：

域名系统（DNS）是一个共享的公共数据库，该数据库将诸如www.mozilla.org之类的人性化名称链接到一系列计算机友好的数字，称为IP地址（例如192.0.2.1）。 。通过在该数据库中执行“查找”，您的Web浏览器可以代表您查找网站。由于几十年前DNS最初是如何设计的，因此浏览器在对网站（甚至对加密的https：//站点）进行DNS查找时，必须不加密就执行这些查找。

由于传统DNS中没有加密，因此沿途的其他实体可能会收集（甚至阻止或更改）此数据。这些实体可能包括您的Internet服务提供商（ISP）（如果您通过家庭网络进行连接），移动网络运营商（MNO）（如果您通过电话进行连接），WiFi热点供应商（如果您在咖啡店进行连接）甚至在某些情况下窃听者。

在Internet的早期，人们对这类威胁人们的隐私和安全的威胁是已知的，但尚未被利用。如今，我们知道未加密的DNS不仅容易受到间谍的攻击，而且正在被利用，因此我们正在帮助Internet转向更安全的替代方法。这就是DoH的来历。

遵循对HTTP流量进行加密的最佳实践，Mozilla与Internet工程任务组（IETF）的行业利益相关者合作，定义了一种称为RFC 8484中指定的称为HTTP over HTTPS或DoH的DNS加密技术（发音为“面团”）。您的DNS请求，并且响应通过HTTPS在设备和DNS解析器之间进行了加密。由于DoH是新兴的Internet标准，因此操作系统供应商和Mozilla以外的浏览器也可以实现它。实际上，谷歌，微软和苹果公司已经在各自的浏览器和/或操作系统中实施DoH或处于实施DoH的后期阶段，这成为帮助提高Web安全性的普遍标准成为时间问题。

Mozilla已将DoH部署到美国的Firefox用户，并作为其他地区的Firefox用户的选择功能。我们目前正在探索如何将部署扩展到美国以外。与Mozilla的使命一致，在我们推出此功能的国家/地区中，用户可以明确选择接受还是拒绝DoH，并采用默认启用的方向来保护用户的隐私和安全。

重要的是，除了简单的DNS查找加密外，我们的DoH部署还增加了一层用户保护。我们的部署包括一个受信任的递归解析器（TRR）程序，通过该程序，DoH查找仅路由到已做出具有法律约束力的承诺，以对用户数据采取额外保护（例如，将数据保留限制为运营目的并且不出售或共享）的DNS供应商。与其他方的用户数据）。 Firefox的DoH部署还旨在尊重ISP提供的家长控制服务（用户已选择该服务），并为其提供了与企业部署策略配合使用的技术。

在我们探索将DoH的好处带给更多用户的同时，我们正在启动一个意见征询期，以收集想法，建议和见解，以帮助我们在新区域中实现DoH的安全性和隐私增强收益的最大化。 。我们欢迎任何关心健康，权利保护和安全的Internet增长的人士做出贡献。

持续时间：全球公众意见征询期将持续45天，从2020年11月19日开始，至2021年1月4日结束。

受众：咨询对所有对全球更安全，开放和健康的互联网感兴趣的利益相关者开放。

咨询问题：此处提供了一组详细的问题，可作为咨询的框架。并非必须回答所有问题。

提交评论：所有回复都可以以纯文本格式或可访问的pdf格式提交给[email protected]。

除非作者在提交回复的电子邮件中明确选择退出，否则所有真实的回复都将在我们的博客上公开提供。违反我们的社区参与准则的提交将不会被发布。

我们的目标是在全球ISP，MNO和企业的支持下，DoH在DNS中的普及程度与HTTPS在Web流量方面的普及程度相同，以帮助保护最终用户和DNS提供商本身。我们希望公众意见能够使我们更加接近该目标，并且我们希望在建立更健康的Internet方面听到世界各地利益相关者的意见。