โดยปกติเวลาเราจะเข้าเว็บไซด์สิ่งแรกที่จะต้องทำคือการ resolve name เปลี่ยนจาก Domain name ให้กลายเป็น IP เสียก่อน ซึ่ง DNS นั้นไม่ได้มีความ secure สามารถถูก spoofing ได้ อีกทั้งยังมีพวก DNS Server ที่ถูก compromise ได้อีก Mozilla รู้สึกถึงความเสี่ยงตรงจุดนี้และอยากทำให้ user ปลอดภัยขึ้น จึงออก feature ที่ชื่อว่า Trusted Recursive Resolver (TRR) และ DNS over HTTPS (DoH) เพื่อมาแก้ไขช่องโหว่เหล่านี้นั่นเอง โดยสิ่งที่ feature ของ Firefox ต้องการจะแก้คือ

1. หลีกเลี่ยง DNS Server ที่ไม่มีความน่าเชื่อถือด้วย Trusted Recursive Resolver

Trusted Recursive Resolve จะเป็น feature ที่ Firefox ใช้ Cloudflare คือแทนที่จะใช้ DNS Server ของที่ ISP แจกมาให้ก็ไปใช้ DNS ของ Cloudflare เพื่อให้ resolve จาก DNS Server ที่น่าเชื่อถือของ Cloudflare เท่านั้น โดย feature นี้เราสามารถ configure การใช้ feature นี้แล้วไปใช้ DNS ตัวอื่นที่ support DoH ได้เช่นกัน

2. ป้องกันการถูกดักฟังและแก้ไข DNS ด้วย DNS over HTTPS

การป้องกันการแก้ไข DNS Request และ DNS Response โดยการให้ DNS แลกเปลี่ยนผ่าน HTTPS แทน โดยการกระทำดังกล่าว ทาง DNS Server จำเป็นต้อง support ด้วย

3. ส่งข้อมูลขนาดเล็กให้ได้มากที่สุดเท่าที่จะเป็นไปได้ เพื่อป้องกันการทราบตัวตน

การใช้งาน DNS ทั่วโดยปกติจะถามไปยัง DNS Server โดยส่งทั้ง domain name และ subdomain name ไป แต่พอเป็น DoH มันจะเปลี่ยนไปใช้การส่งเป็นส่วนๆไปแทน

ปกติเวลาเราจะถามไปยัง resolver แล้ว resolver ส่งต่อไปยังที่อื่นจะมีการแปะ IP ของเราไปใน request ด้วย เพื่อให้ DNS ที่รับไม้ต่อนั้นทราบได้ว่า DNS ที่ใกล้ที่สุดของ IP ดังกล่าวเป็นที่ใด แต่ประเด็นคือข้อมูลนั้นอาจถูกใช้เพื่อจุดประสงค์อื่นได้เช่นกัน

แต่หากเป็น resolver ของ Cloudflare จะเป็นการตรวจสอบว่าที่ไหนใกล้สุดโดยดูจาก Geolocation แทน

Source:: Mozilla