Dopiero zaczynasz interesować się DNS przez HTTPS (DoH)? Nie ma się czym martwić! Przedstawiliśmy tutaj listę najczęściej zadawanych pytań i odpowiedzi, aby dowiedzieć się, co DoH ma do zaoferowania. Dodatkowe informacje znajdziesz na stronie DNS poprzez HTTPS w przeglądarce Firefox.
Spis treści
- 1 Jak działa DNS przez HTTPS dla użytkowników Firefoksa
- 1.1 Jaka jest polityka prywatności dla DNS przez HTTPS?
- 1.2 Czy użytkownicy zostaną ostrzeżeni, gdy DoH zostanie włączone i zaoferuje się im rezygnację?
- 1.3 Czy użytkownicy będą mogli wyłączyć DoH?
- 1.4 Czy użytkownicy mogą zrezygnować z usługi z wyprzedzeniem?
- 1.5 Jak DoH wpłynie na przedsiębiorstwa z niestandardowymi rozwiązaniami DNS?
- 1.6 Jak DoH wpłynie na kontrolę rodzicielską?
- 1.7 Czy sieci nie mogą po prostu cały czas uruchamiać kontroli domeny kanaryjskiej i wyłączać DoH?
- 1.8 Czy DoH może zablokować sieci dostarczania treści (CDN-y)?
- 1.9 Jak Firefox radzi sobie z dzielonym DNS?
- 1.10 Czy sprawdzacie poprawność DNSSEC?
- 2 Nasi partnerzy dostarczający usługę DNS poprzez HTTPS
- 3 Więcej o implementacji DNS-przez-HTTPS w Firefoksie
- 3.1 Jak wygląda wasz kalendarz wdrożenia?
- 3.2 Czy wprowadzicie to rozwiązanie jako domyślnie w Europie?
- 3.3 Czemu Firefox implementuje DoH, a nie DoT?
- 3.4 Czy DoT jest łatwiejszy do wykrycia i zablokowania dla operatorów sieciowych?
- 3.5 Czy Server Name Indication (SNI) i tak nie zdradza nazw domeny?
- 3.6 Czym są heurystyki DoH?
Jak działa DNS przez HTTPS dla użytkowników Firefoksa
Jaka jest polityka prywatności dla DNS przez HTTPS?
Wdrożenie DoH jest częścią naszej pracy mającej na celu ochronę użytkowników przed powszechnym śledzeniem danych osobowych w internecie. W tym celu Mozilla wymaga od wszystkich dostawców DNS, którzy mogą być wybrani w Firefoksie, aby przestrzegali naszej polityki użycia DoH poprzez prawnie wiążącą umowę. Wymogi te nakładają ścisłe ograniczenia na rodzaj danych, które mogą być zatrzymywane, co dostawca może zrobić z tymi danymi i jak długo może je przechowywać. Ta ścisła polityka ma na celu ochronę użytkowników przed możliwością gromadzenia i zarabiania na danych przez dostawców.
Czy użytkownicy zostaną ostrzeżeni, gdy DoH zostanie włączone i zaoferuje się im rezygnację?
Tak, w Firefoksie zostanie wyświetlone powiadomienie, i nie zniknie, dopóki użytkownik nie podejmie decyzji o włączeniu lub wyłączeniu ochrony prywatności DNS.
Czy użytkownicy będą mogli wyłączyć DoH?
Tak, można wyłączyć DoH, wybierając własnego dostawcę DoH oraz dokonując innych zmian w konfiguracji z panelu Konfiguracja poziomów ochrony DNS poprzez HTTPS w Firefoksie. w ustawieniach Firefoksa, jak wyjaśniono w artykule Tak, można wyłączyć DoH w ustawieniach połączenia internetowego. Użytkownicy mogą też wyłączyć DoH lub wybrać własnego dostawcę DoH, jak wyjaśniono tutaj.
Czy użytkownicy mogą zrezygnować z usługi z wyprzedzeniem?
Tak, można ustawić network.trr.mode na 5 ręcznie w about:config. Dodatkowe informacje na temat trybów można znaleźć tutaj.
Jak DoH wpłynie na przedsiębiorstwa z niestandardowymi rozwiązaniami DNS?
Ułatwiliśmy przedsiębiorstwom wyłączenie tej funkcji. Dodatkowo, Firefox wykryje, czy w urządzeniu zostały ustawione reguły korporacyjne i wyłączy DoH w tych okolicznościach. Jeśli jesteś administratorem systemu i chcesz dowiedzieć się, jak skonfigurować reguły korporacyjne, zapoznaj się z dokumentacją.
Jak DoH wpłynie na kontrolę rodzicielską?
Wiemy, że niektórzy dostawcy usług internetowych (ISP) używają DNS, aby zaoferować usługę kontroli rodzicielskiej, która blokuje treści dla dorosłych. Mozilla jest zdania, że DNS nie jest najlepszym podejściem do kontroli rodzicielskiej, ale nie chcemy też przerywać istniejących usług, więc przed włączeniem DoH sprawdzamy szereg tzw. domen kanaryjskich. Jeśli te domeny wskazują, że kontrole rodzicielskie są włączone, wtedy wyłączamy DoH. Dodatkowe informacje można znaleźć w tym wpisie na blogu Mozilli.
Czy sieci nie mogą po prostu cały czas uruchamiać kontroli domeny kanaryjskiej i wyłączać DoH?
Tak, domeny kanaryjskie są rozwiązaniem, które oferuje najlepsze zabezpieczenie w walce z napastnikami sieci i zapobiega przerwaniu istniejących usług. Będziemy monitorować ich użycie, badać wszelkie incydenty nadużyć i analizować środki mające na celu ich powstrzymanie.
Czy DoH może zablokować sieci dostarczania treści (CDN-y)?
Jesteśmy świadomi, że niektóre CDN-y używają sterowania ruchem w oparciu o DNS, na które DoH może mieć wpływ. Jednak nasze pomiary pokazują, że czasy obciążenia stron DoH są konkurencyjne w porównaniu do zwykłych czasów obciążenia stron DNS. W trakcie i po zakończeniu okresu wdrażania będziemy monitorować wydajność programu Firefox, aby sprawdzić, czy nie ma żadnych usterek.
Jak Firefox radzi sobie z dzielonym DNS?
Jeśli Firefox nie rozwiąże domeny przez DoH, wyśle zapytanie z powrotem do DNS. Oznacza to, że wszystkie domeny, które są dostępne tylko w zwykłym DNS (ponieważ nie są publiczne), zostaną rozwiązane w ten sposób. Jeśli masz domenę, która jest publicznie rozwiązywalna, ale rozwiązuje się inaczej wewnętrznie, to powinieneś użyć ustawień korporacyjnych, aby wyłączyć DoH.
Czy sprawdzacie poprawność DNSSEC?
DNSSEC zapewnia, że odpowiedzi DNS nie zostały zmodyfikowane podczas transferu, ale nie szyfruje żądań i odpowiedzi DNS. Aby chronić prywatność użytkowników, nadaliśmy priorytet szyfrowaniu DNS przy użyciu DoH. Rozważamy wdrożenie DNSSEC w przyszłości.
Nasi partnerzy dostarczający usługę DNS poprzez HTTPS
Jakiego dostawcę będzie używał Firefox?
W każdym kraju, w którym uruchamiamy DoH, będziemy mieli domyślnego dostawcę (np. w USA jest nim Cloudflare). Użytkownicy mogą samodzielnie wybrać dostawcę z listy dodatkowych dostawców w naszym programie Trusted Recursive Resolver, który wymaga zgodności z naszymi wymogami polityki dotyczącymi prywatności i bezpieczeństwa użytkownika. Z czasem spodziewamy się dodać kolejnych dostawców do naszego programu Trusted Recursive Resolver. Ponadto, nasza wizja polega na tym, aby DoH było powszechnie przyjęte i wspierane przez wszystkie serwery DNS.
Jak Mozilla wybiera zaufanych dostawców?
Nasi domyślni dostawcy usługi DoH są w stanie spełnić nasze rygorystyczne wymagania, które obecnie posiadamy. Wymagania te są poparte prawnie wiążącą umową i zostały upublicznione w informacji o prywatności, która dokumentuje te zasady i zapewnia przejrzystość dla użytkowników.
Czy Mozilla otrzymuje zapłatę za przesyłanie żądań DNS do domyślnych serwerów DoH?
Żadne pieniądze nie są wymieniane za przesyłanie żądań DNS do wybranych przez nas serwerów DoH.
Czy Mozilla lub dostawcy DoH zarabiają na tych danych?
Nie, nasza polityka wyraźnie zakazuje monetyzacji tych danych. Naszym celem z tą funkcją jest zapewnienie ważnej ochrony prywatności dla naszych użytkowników i utrudnienie istniejącym resolwerom DNS monetyzacji danych DNS użytkowników.
Więcej o implementacji DNS-przez-HTTPS w Firefoksie
Jak wygląda wasz kalendarz wdrożenia?
Wdrożyliśmy domyślny DoH dla użytkowników przeglądarki Firefox na komputery stacjonarne w Stanach Zjednoczonych w 2019 roku, w Kanadzie w 2021, a w marcu 2022 w Rosji i w Ukrainie. Obecnie jesteśmy na etapie planowania wdrożeń usługi w kolejnych regionach.
Czy wprowadzicie to rozwiązanie jako domyślnie w Europie?
W ramach naszej stałej strategii dokładnego pomiaru korzyści i wpływu DoH, na razie udostępniliśmy tę funkcję domyślnie w Rosji, w Ukrainie, a także w USA i Kanadzie.
Czemu Firefox implementuje DoH, a nie DoT?
IETF ustandaryzował dwie metody bezpiecznych protokołów DNS: DNS-over-TLS (DoT) i DNS-over-HTTTPS (DoH). Te dwa protokoły mają zasadniczo podobne właściwości w zakresie bezpieczeństwa i prywatności. Wybraliśmy DoH, ponieważ uważamy, że lepiej pasuje do naszego istniejącego, dojrzałego stosu sieciowego przeglądarki (który skupia się na HTTP) i zapewnia lepsze wsparcie dla przyszłych funkcji protokołu, takich jak multipleksacja HTTP/DNS i QUIC.
Czy DoT jest łatwiejszy do wykrycia i zablokowania dla operatorów sieciowych?
Tak, nie uważamy tego za zaletę. Firefox zapewnia operatorom sieciowym mechanizmy sygnalizowania, że mają uzasadnione powody, aby wyłączyć DoH. Nie sądzimy, aby blokowanie połączenia z resolwerem było odpowiednią odpowiedzią.
Czy Server Name Indication (SNI) i tak nie zdradza nazw domeny?
Tak, chociaż nie wszystkie nazwy domen przeciekają przez SNI, mamy świadomość, że SNI przecieka i rozpoczęliśmy pracę nad Encrypted SNI.
Czym są heurystyki DoH?
Jest to lista kontrolna, którą Firefox sprawdza przed domyślnym włączeniem DoH dla użytkowników w regionach wdrażania, aby sprawdzić, czy włączenie DoH będzie miało na nich negatywny wpływ. (Kontrole te są ignorowane, jeśli DoH zostało jawnie włączone). Na przykład, DoH pozostanie wyłączone, jeśli włączone są zasady korporacyjne lub kontrola rodzicielska. Aby dowiedzieć się więcej na ten temat, przeczytaj Security/DNS Over HTTPS/Heuristics oraz Konfigurowanie sieci w celu wyłączenia DNS poprzez HTTPS.