Trusted Recursive Resolver ve Firefoxu ma vicero konfiguracnich voleb. Krome uplneho vypnuti to jde take nasmerovat i na jiny (vlastni) server a pak to v konecnem dusledku z pohledu ochrany soukromi i pro paranoika zas tak strasne byt nemusi.
Vychozi nastaveni je sice asi diskutabilni, ale vzhledem k tomu, jak se u nekterych ISP caruje s DNS rekurzory (kde se taky dejou ruzne veci bez vedomi koncoveho uzivatele) je mozna lepsi, kdyz se dotazy nasmeruji na nekoho, komu alespon trosku verite a tedy uzivateli se vrati to, co se mu skutecne vratit ma (a Mozilla zjevne Cloudflare duveruje). Nesmi se zapominat, ze vychozi nastaveni prohlizece je urcene tem, kteri problematice prilis nerozumi.
Moznosti nastavenia TRR vo Firefoxe su neadekvatne. Ziadny pouzivatel, co ma napr. laptop a pripaja sa do viacerych sieti - doma, v praci, u zakaznikov - nebude po kazdom pripojeni do siete rekonfigurovat rucne to, co mu predtym robilo DHCP. Dalsie problemy pridu s VPN, sedi v praci, potrebuje internu DNS, k tomu urobi VPN spojenie k zakaznikovi kde by sa mu normalne nastavila DNS pre resolvovanie iba zakaznikovej domeny - a toto s Firefoxom uz nenastavi vobec.
V tomto ohlade si Mozilla ukusla z kolaca viac, ako bude realne schopna stihat realizovat. (Ich schopnosti realizacie slubov vid: API pre extensions ktore odstrihli s Quantum, akceleracia kompozitora pomocou GPU pod Linuxom, alebo akceleracia dekodovania videa pod Linuxom).
Ti, co problematike moc nerozumeju, a pre ktorych je vraj toto default nastavenie urcene, budu mat jednoducho vsetko zrazu rozbite a nebudu si to vediet poskladat naspat. Fakt dobra pomoc, diky Brona.
DNS, ktere prideli DHCP hadam nebude podporovat DOH - tedy zjednodusene receno posilani DNS pozadavku over HTTPS, dost casto ani jinou formu zabezpeceni transportu (treba DNS over TLS). A zabezpeceni na urovni transportu je take jedna z veci, o ktere tu v konecnem dusledku jde.
Pokud se zactete skutecne pozorne do toho, co jsem odkazoval vyse, tak zjistite ze onen "lokalne nastaveny" DNS se stejne pouzije - k tomu, aby si prelozil IP adresu onoho DOH serveru (ktera je v konfiguraci jako hostname, nikoliv jako IP). Firemnimu uzivateli s VPN muzete klidne nastavit korporatni DOH server - mj. tam jde pouzit i autorizaci jmenem/heslem - takze ani povesene do internetu to nebude pouzitelne kymkoliv a porad tam bude jista mira soukromi pro firemni uzivatele (aniz by to bonzovalo provozovateli DNS serveru prideleneho z DHCP, na jake hostname se leze).
Argumentaci "problemy s uzivateli" jde klidne pouzit i obracene. Nezridkakdy se stava, ze z VPN prideleny korporatni DNS server neni schopny prelozit vubec nic krome firemnich veci a pak uzivateli soubezne s vytocenou VPN taky nefunguje nic. Nekdy nejsou dostupne ani samotne DNS - typicky, kdyz se dobastli VPN pro externistu s pristupem povolenym jen na urcitou vnitrni IP (a uz ani na DNS se nepusti, i kdyz ve VPN je vedle samotne IP klientske strany posle).