FYI: Firefox, DNS over HTTPS (DoH), Trusted Recursive Resolver (TRR)

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Jana66
Beiträge: 3725
Registriert: 03.02.2016 12:41:11

FYI: Firefox, DNS over HTTPS (DoH), Trusted Recursive Resolver (TRR)

Beitrag von Jana66 » 10.08.2018 17:08:40

Hallo Leute,
gerade einen netten Artikel über Thema lt. Überschrift gefunden, Auszug:
For those interested in testing the behavior, in Firefox, open about:config and set network.trr.mode to 2 which will prefer TRR but fall back to regular DNS. The current values are:
0: Off by default
1: Firefox will choose based on which is faster
2: TRR preferred, fall back to DNS on failure
3: TRR only, no DNS fallback
5: TRR completely disabled
https://forum.netgate.com/topic/133679/ ... in-firefox

Von Zitatquelle empfohlene Links:
https://wiki.mozilla.org/Trusted_Recursive_Resolver
https://blog.nightly.mozilla.org/2018/0 ... n-firefox/
https://yro.slashdot.org/story/18/08/05 ... or-firefox
https://blog.ungleich.ch/en-us/cms/blog ... dangerous/

Meine Überlegung zum Rückfall auf System-DNS: Ohne Man in the Middle (squid) dürfte ein automatischer Rückfall (Value 2) nur dann eintreten, wenn Cloudflare (nur 1.1.1.1?) in Firewall outgoing rejected wird. Oder in pihole/pfblockerNG der entsprechende Servername. Eventuell mehrere, Mozilla experimentiert auch mit Google (*). Die momentane Default-Option network.trr.mode=0 wird wohl nicht lange so bleiben ...

Jedenfalls brauchen Leute mit pihole oder pfBlockerNG ihren eigenen DNS-Server, also Debiandnsmasq oder Debianunbound.

Code: Alles auswählen

about:config
network.trr.mode=5
Interessant wird noch DNS-Blocking für Android/Chrome. Danke Mozilla, dass ihr ausgerechnet DNS over HTTPS macht! :evil:
DNS over TLS: https://en.wikipedia.org/wiki/DNS_over_TLS

(*) https://www.golem.de/news/dns-over-http ... 854-2.html
Zuletzt geändert von Jana66 am 10.08.2018 20:26:26, insgesamt 1-mal geändert.
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

tobo
Beiträge: 535
Registriert: 10.12.2008 10:51:41

Re: FYI: Firefox, DNS over HTTPS (DoH), Trusted Recursive Resolver (TRR)

Beitrag von tobo » 10.08.2018 18:37:52

Hier stehen auch noch ein paar interessante Details dazu:
https://privacy-handbuch.de/handbuch_21w.htm

dufty2
Beiträge: 1476
Registriert: 22.12.2013 16:41:16

Re: FYI: Firefox, DNS over HTTPS (DoH), Trusted Recursive Resolver (TRR)

Beitrag von dufty2 » 10.08.2018 21:22:21

Interessantes Thema, müsste mensch sich bei Gelegenheit näher beschäftigen.
Vorhin stand noch "DNS over TLS" da, was aber verschieden von "DNS over HTTPS" (und auch verschieden von "DNSCrypt").

Da die Root-Server das (derzeit) nicht unterstützen (richtig?), ist mensch immer auf einen "proxy" angewiesen, und wenn es der eigene unbound ist.

Lt. tobos link verwendet Cloudflare 104.16.111.25 & 104.16.112.25 und nicht die 1.1.1.1 (oder 1.0.0.1) für Mozilla.

CCC bzw. DigitalCourage bieten DoH nicht an, ist das richtig?

Benutzeravatar
habakug
Moderator
Beiträge: 4045
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: FYI: Firefox, DNS over HTTPS (DoH), Trusted Recursive Resolver (TRR)

Beitrag von habakug » 11.08.2018 11:28:52

Hallo,

das TRR ist default off (0). Auf 5 ist es "Explicitly off. Also off, but selected off by choice and not default." [1]. Der Entwickler hat auch ein Tool zum Abfragen geschrieben, da er auch der Entwickler von Debiancurl ist ;-)

Code: Alles auswählen

$ ./doh www.debianforum.de https://dns.cloudflare.com/.well-known/dns-query
www.debianforum.de from https://dns.cloudflare.com/.well-known/dns-query
TTL: 86400 seconds
A: 144.76.154.165
AAAA: 2a01:04f8:0200:22a4:0000:0000:0000:0002
Gruss, habakug

[1] https://daniel.haxx.se/blog/2018/06/03/ ... oh-engine/
[2] https://github.com/curl/doh

edit:
about:networking sollte auch nicht unerwähnt bleiben
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

Antworten