Právě začínáte s DNS over HTTPS (DoH)? Není třeba se obávat! Zde uvádíme seznam často kladených otázek, které vám mohou pomoci seznámit se se vším, co DoH nabízí. Další informace pak naleznete v článku DNS over HTTPS ve Firefoxu.
Obsah
- 1 Jak DNS over HTTPS funguje pro uživatele Firefoxu v lokalitách, kde jsme DoH zavedli
- 1.1 Jaké jsou zásady ochrany osobních údajů pro DNS over HTTPS?
- 1.2 Budou uživatelé při zapnutí DoH upozorněni a budou mít možnost odmítnout?
- 1.3 Budou uživatelé moci DoH později vypnout?
- 1.4 Mohou uživatelé odmítnout DoH už předem?
- 1.5 Jaký bude mít DoH dopad na podniky s vlastním DNS řešením?
- 1.6 Jaký bude mít DoH dopad na rodičovskou kontrolu?
- 1.7 Nemohou prostě sítě neustále spouštět kontrolu kanárkové domény a vypnout DoH?
- 1.8 Poruší DoH sítě pro doručování obsahu (CDN)?
- 1.9 Jak se Firefox vypořádá s DNS s rozděleným horizontem (split-horizon)?
- 1.10 Provádíte DNSSEC ověřování?
- 2 Partnerská spolupráce při zajištění DNS over HTTPS
- 3 Další informace o implementaci DNS over HTTPS ve Firefoxu
Jak DNS over HTTPS funguje pro uživatele Firefoxu v lokalitách, kde jsme DoH zavedli
Jaké jsou zásady ochrany osobních údajů pro DNS over HTTPS?
Implementace DoH je součástí naší práce na ochraně uživatelů před na internetu všudypřítomným sledováním osobních dat. Mozilla za tím účelem vyžaduje, aby všichni poskytovatelé DNS, které je možno si ve Firefoxu zvolit, dodržovali prostřednictvím právně závazné smlouvy naše zásady pro resolvery. Tyto požadavky kladou přísná omezení na to, jaký typ údajů může být uchováván, co může poskytovatel s těmito údaji dělat a jak dlouho je může uchovávat. Účelem těchto přísných zásad je ochrana uživatelů před tím, aby poskytovatelé mohli jejich data shromažďovat a zpeněžit.
Budou uživatelé při zapnutí DoH upozorněni a budou mít možnost odmítnout?
Ano, ve Firefoxu se zobrazí upozornění a nezmizí, dokud uživatel nerozhodne, zda se mu má DoH zapnout nebo nemá.
Budou uživatelé moci DoH později vypnout?
Ano, v nastavení Firefoxu v sekci Configure DNS over HTTPS protection levels in Firefox. je možné vypnout DoH, vybrat vlastního poskytovatele DoH, nebo provést jiné změny v konfiguraci DoH, jak je vysvětleno v článku Ano, DoH je možné vypnout z nastavení sítě Firefoxu. Zde mohou uživatelé DoH vypnout nebo vybrat vlastního poskytovatele DoH, jak je vysvětleno v jiném článku.
Mohou uživatelé odmítnout DoH už předem?
Ano, v editoru předvoleb nastavením předvolby network.trr.mode na hodnotu 5. Bližší informace o těchto režimech lze najít zde.
Jaký bude mít DoH dopad na podniky s vlastním DNS řešením?
Podnikům jsme usnadnili vypnutí této funkce. Kromě toho Firefox zjistí, jestli byly v zařízení nastaveny podnikové zásady, a za takových okolností DoH vypne. Pokud jste správce systému a zajímá vás, jak nakonfigurovat podnikové zásady, přečtěte si prosím dokumentaci.
Jaký bude mít DoH dopad na rodičovskou kontrolu?
Víme, že někteří poskytovatelé internetových služeb používají DNS k poskytování služby rodičovské kontroly, která blokuje obsah pro dospělé. Mozilla zastává názor, že DNS nepředstavuje nejvhodnější způsob realizace rodičovské kontroly, ale rovněž nechceme porušovat stávající služby, takže před zapnutím DoH zkontrolujeme celou řadu kanárkových domén. Pokud tyto domény naznačují, že je zapnuta rodičovská kontrola, potom DoH nezapneme. Bližší informace naleznete v tomto příspěvku blogu Mozilly.
Nemohou prostě sítě neustále spouštět kontrolu kanárkové domény a vypnout DoH?
Ano, kanárkové domény jsou řešením, které nabízí nejlepší zabezpečení v boji proti síťovým útočníkům a které umožňuje předejít porušení přítomných služeb a funkcí. Budeme sledovat jejich používání, prošetřovat případy zneužití a hledat opatření k omezení takových případů.
Poruší DoH sítě pro doručování obsahu (CDN)?
Jsme si vědomi, že některé CDN používají řízení provozu založené na DNS, které může být metodou DoH ovlivněno. Naše měření však ukazují, že doby načítání stránek u DoH jsou konkurenceschopné v porovnání s dobami načítání stránek u běžných DNS. Během a po období zavádění DoH budeme monitorovat výkon Firefoxu, abychom zjistili, jestli se nevyskytují nějaké závady.
Jak se Firefox vypořádá s DNS s rozděleným horizontem (split-horizon)?
Jestliže Firefox nedokáže přeložit doménu prostřednictvím DoH, přepne zpět na DNS. To znamená, že všechny domény, které jsou dostupné pouze na běžném DNS (protože nejsou veřejné), budou překládány tímto způsobem. Pokud máte doménu, kterou je možno při veřejném přístupu překládat, ale vnitropodnikově se překládá jinak, měli byste pomocí podnikového nastavení DoH vypnout.
Provádíte DNSSEC ověřování?
DNSSEC zajišťuje, že DNS odpovědi nebyly během přenosu zfalšovány, ale DNS dotazy a odpovědi nešifruje. Za účelem ochrany soukromí uživatelů jsme dali přednost šifrování DNS pomocí DoH. Do budoucna uvažujeme o implementaci DNSSEC.
Partnerská spolupráce při zajištění DNS over HTTPS
Jaký resolver bude Firefox používat?
V každé zemi, kde DoH spustíme, budeme mít výchozí resolver (např. v USA je výchozím resolverem Cloudflare). Uživatelé si mohou v našem programu Trusted Recursive Resolver, jenž vyžaduje dodržování našich požadavků na soukromí a bezpečnost uživatelů, střídavě vybírat ze seznamu dalších poskytovatelů. Očekáváme, že v průběhu času tento náš program rozšíříme o další poskytovatele. Naší vizí navíc je, aby byl DoH přijat a podporován obecně všemi DNS resolvery.
Jak Mozilla vybírá svůj důvěryhodný resolver?
Naše výchozí resolvery jsopu schopny splnit přísné požadavky na zásady, které máme v současné době uplatňujeme. Tyto požadavky jsou doloženy v právně závazných smlouvách a jsou zveřejněny ve svého druhu nejlepších oznámeních o ochraně osobních údajů, které tyto zásady dokumentují a poskytují uživatelům transparentnost.
Dostává Mozilla za směrování DNS požadavků na její výchozí resolvery zaplaceno?
Za směrování DNS požadavků na naše výchozí partnery poskytující nám resolvery nedochází k žádným platbám.
Zpeněžuje tato data Mozilla nebo její výchozí resolveři?
Ne, naše zásady výslovně zakazují zpeněžení těchto dat. Naším cílem s touto funkcí je poskytovat našim uživatelům významnou ochranu soukromí a ztěžovat stávajícím DNS resolverům zpeněžování DNS dat uživatelů.
Další informace o implementaci DNS over HTTPS ve Firefoxu
Jaký je váš plán zavádění DoH?
DoH jsme zavedli v roce 2019 v USA, v roce 2021 v Kanadě a v březnu roku 2022 v Rusku a na Ukrajině. V současné době plánujeme rozšíření do dalších lokalit.
Postupujete takto i v Evropě?
V rámci naší pokračující strategie pečlivého zjišťování přínosů a dopadů metody DoH jsme tuto funkci zatím spustili pouze v Rusku, na Ukrajině, v USA a Kanadě.
Proč Firefox implementuje DoH a ne DoT?
Organizace IETF standardizovala dva protokoly pro zabezpečený přenos DNS dotazů a odpovědí: DNS over TLS (DoT) a DNS over HTTPS (DoH). Tyto dva protokoly mají značně podobné vlastnosti ohledně zabezpečení a ochrany soukromí. Zvolili jsme DoH, protože věříme, že se lépe slučuje s protokolovým zásobníkem (jenž je zaměřen na HTTP) našeho současného vyspělého prohlížeče a poskytuje lepší podporu budoucích funkcí protokolů, jako jsou např. HTTP/DNS multiplexing a QUIC.
Je DoT pro provozovatele sítí snadnější detekovat a blokovat?
Ano, a nemyslíme si, že je to výhoda. Firefox poskytuje provozovatelům sítí mechanismy pro signalizaci, že mají opodstatněné důvody pro vypnutí DoH. Nejsme přesvědčeni, že blokování připojení k resolveru je vhodnou odezvou.
Neprozradí snad tak či tak doménová jména metoda Server Name Indication (SNI)?
Ano, a ačkoli ne všechna doménová jména se prostřednictvím SNI prozradí, toto prozrazování nás znepokojuje a začali jsme pracovat na šifrovaném SNI.
Co jsou to DoH heuristiky?
Jde o sadu kontrol, které Firefox u uživatelů v zaváděcích oblastech provádí před výchozím zapnutím DoH, aby zjistil, zda nebude mít zapnutí DoH nějaký negativní dopad. (Tyto kontroly jsou ignorovány, jestliže jste DoH zapnuli vy sami.) Například DoH zůstane vypnut v případě, že jsou zapnuta podniková pravidla nebo rodičovská kontrola. Další informace naleznete v dokumentu Security/DNS Over HTTPS/Heuristics a článku Nastavení sítě za účelem zakázání DNS over HTTPS.