Você está apenas começando a conhecer DNS sobre HTTPS? (em inglês, DNS over HTTPS - DoH) Não se preocupe! Selecionamos uma lista de perguntas frequentes que você pode achar útil enquanto se atualiza com tudo o que o DoH tem a oferecer. Consulte informações adicionais em DNS sobre HTTPS no Firefox.
Índice
- 1 Como funciona DNS sobre HTTPS para usuários do Firefox com base em idiomas onde liberamos DNS sobre HTTPS por padrão
- 1.1 Qual é a política de privacidade do DNS sobre HTTPS?
- 1.2 Os usuários serão avisados quando isso for ativado e será oferecida uma opção de não usar?
- 1.3 Os usuários podem desativar o DoH?
- 1.4 Os usuários podem optar antecipadamente por não usar?
- 1.5 Como o DoH pode impactar empresas com soluções personalizadas de DNS?
- 1.6 Como o DoH pode impactar em controles dos pais?
- 1.7 Redes não podem simplesmente disparar a verificação de domínio canary o tempo todo e desativar o DoH?
- 1.8 O DoH afetará Redes de Distribuição de Conteúdo (CDNs)?
- 1.9 Como o Firefox lida com DNS split-horizon?
- 1.10 O DNSSEC é validado?
- 2 Parcerias de DNS sobre HTTPS
- 3 Mais informações sobre a implementação do DNS sobre HTTPS no Firefox
- 3.1 Qual é o cronograma de lançamento?
- 3.2 Será lançado agora este padrão na Europa?
- 3.3 Por que o Firefox está implementando DoH e não DoT?
- 3.4 O DoT é mais fácil para operadores de rede detectar e bloquear?
- 3.5 O Server Name Indication (SNI) não vaza nomes de domínios de qualquer maneira?
- 3.6 O que são heurísticas de DNS sobre HTTPS?
Como funciona DNS sobre HTTPS para usuários do Firefox com base em idiomas onde liberamos DNS sobre HTTPS por padrão
Qual é a política de privacidade do DNS sobre HTTPS?
Implementar DoH é parte de nosso trabalho para proteger os usuários do pervasivo rastreamento online de dados pessoais. Para fazer isso, a Mozilla exige que todos os provedores de DNS que podem ser selecionados no Firefox estejam em conformidade com nossa política de resolvedor através de um contrato de vínculo jurídico. Essas exigências estipulam limites rigorosos sobre o tipo de dado que pode ser retido, o que o provedor pode fazer com esses dados e por quanto tempo ele pode guardar. Esta política rigorosa destina-se a proteger os usuários da capacidade de provedores de coletar e monetizar suas informações.
Os usuários serão avisados quando isso for ativado e será oferecida uma opção de não usar?
Sim, uma notificação será exibida no Firefox e não desaparecerá até que o usuário tome uma decisão de ativar ou desativar as proteções de privacidade de DNS.
Os usuários podem desativar o DoH?
Sim, um usuário pode desativar o DoH, selecionar seu próprio provedor de DoH e fazer outras alterações de configuração no painel Configure níveis de proteção DNS sobre HTTPS no Firefox. das configurações do Firefox, conforme explicado no artigo Sim, eles podem desativar o DoH nas configurações de rede do Firefox. Um usuário pode desativar o DoH ou selecionar seu próprio provedor de DoH, conforme explicado aqui.
Os usuários podem optar antecipadamente por não usar?
Sim, pode-se configurar manualmente network.trr.mode com valor 5 no editor de configurações. Informações adicionais sobre os modos podem ser encontradas aqui.
Como o DoH pode impactar empresas com soluções personalizadas de DNS?
Facilitamos às empresas desativar este recurso. Além disso, o Firefox detecta se diretivas empresariais foram definidas no dispositivo, desativando o DoH nessas circunstâncias. Se você é um administrador de sistemas interessado em saber como configurar diretivas empresariais, consulte a documentação.
Como o DoH pode impactar em controles dos pais?
Sabemos que alguns provedores de internet (ISPs) usam DNS para oferecer serviços de controles dos pais, que bloqueiam conteúdo adulto. Na opinião da Mozilla, usar DNS não é a melhor abordagem para controle dos pais, mas também não queremos atrapalhar serviços existentes, por isso verificamos uma série de domínios canary antes de ativar o DoH. Caso esses domínios indiquem que controles dos pais estão ativados, então desativamos o DoH. Consulte informações adicionais nesta publicação de blog da Mozilla.
Redes não podem simplesmente disparar a verificação de domínio canary o tempo todo e desativar o DoH?
Sim, usar domínios canary é uma solução que oferece a melhor segurança para combater invasores de redes e evitar quebrar implantações existentes. Estamos monitorando seu uso, investigando quaisquer incidentes de abuso e estudando medidas para conter tais incidentes.
O DoH afetará Redes de Distribuição de Conteúdo (CDNs)?
Estamos cientes que algumas CDNs (Content Delivery Networks, ou Redes de Distribuição de Conteúdo) usam direcionamento de tráfego baseado em DNS, que pode ser afetado pelo DoH. No entanto, nossas medições mostram que os tempos de carregamento de páginas com DoH são competitivos, comparados com tempos de carregamento de páginas com DNS comum. Durante e após o período de lançamento, estaremos monitorando o desempenho do Firefox para ver se existe qualquer defeito.
Como o Firefox lida com DNS split-horizon?
Se o Firefox falhar em resolver um domínio via DoH, ele usa de volta o DNS. Significa que qualquer domínio que esteja disponível somente no DNS comum (por não ser público) será resolvido desse modo. Se você tem um domínio que pode ser resolvido publicamente, mas internamente é resolvido diferente, então deve usar configurações empresariais para desativar o DoH.
O DNSSEC é validado?
O DNSSEC garante que respostas de DNS não tenham sido adulteradas durante o trânsito, mas não criptografa solicitações e respostas de DNS. Priorizamos a criptografia de DNS usando DoH para proteger a privacidade do usuário. Estamos considerando a implementação de DNSSEC no futuro.
Parcerias de DNS sobre HTTPS
Que resolvedores o Firefox usará?
Em cada país onde lançamos o DoH, temos um resolvedor padrão (por exemplo, nos EUA o resolvedor padrão é o Cloudflare). Como alternativa, os usuários podem escolher de uma lista de provedores adicionais em nosso programa Trusted Recursive Resolver (resolvedor recursivo confiável), que exige conformidade com nossas exigências de políticas relativas a privacidade e segurança dos usuários. Aos poucos esperamos adicionar mais provedores ao nosso programa Trusted Recursive Resolver. Além disso, nossa visão é que o DoH venha a ser adotado universalmente e suportado por todos os resolvedores de DNS.
Como a Mozilla escolhe seus resolvedores confiáveis?
Nossos resolvedores padrão são capazes de atender as rigorosas exigências de políticas que estabelecemos no momento. Essas exigências estão respaldadas em contratos de vínculo jurídico e são tornadas públicas em avisos de privacidade de primeira linha, que documentam essas políticas e fornecem transparência aos usuários.
A Mozilla é paga para rotear solicitações de DNS para seus resolvedores padrão?
Nenhuma transação monetária é feita para rotear solicitações de DNS para nossos parceiros de resolvedor padrão.
A Mozilla ou seus resolvedores padrão monetizam esses dados?
Não, nossa política proíbe explicitamente monetizar esses dados. Nosso objetivo com este recurso é fornecer proteções de privacidade importantes para nossos usuários e dificultar aos resolvedores de DNS existentes monetizar dados de DNS dos usuários.
Mais informações sobre a implementação do DNS sobre HTTPS no Firefox
Qual é o cronograma de lançamento?
Lançamos o DoH por padrão nos Estados Unidos em 2019, no Canadá em 2021 e na Rússia e Ucrânia em março de 2022. Atualmente estamos em fase de planejamento de lançamento por padrão em mais países.
Será lançado agora este padrão na Europa?
Como parte de nossa estratégia contínua de mensurar cuidadosamente os benefícios e o impacto do DoH, até agora lançamos este recurso por padrão somente na Rússia, Ucrânia, EUA e Canadá.
Por que o Firefox está implementando DoH e não DoT?
A IETF (Internet Engineering Task Force) padronizou dois protocolos de transporte seguro sobre DNS: DNS-over-TLS (DoT) e DNS-over-HTTPS (DoH). Esses dois protocolos têm propriedades de segurança e privacidade amplamente similares. Escolhemos DoH porque acreditamos ser mais adequado ao conjunto de redes de comunicação dos navegadores maduros existentes (cujo foco é HTTP) e fornece melhor suporte a futuros recursos de protocolo, como multiplexação de HTTP/DNS e QUIC.
O DoT é mais fácil para operadores de rede detectar e bloquear?
Sim, mas não pensamos que isto seja uma vantagem. O Firefox fornece mecanismos para operadores de rede sinalizar que eles têm razões legítimas para que o DoH seja desativado. Não acreditamos que bloquear a conexão com o resolvedor seja uma resposta apropriada.
O Server Name Indication (SNI) não vaza nomes de domínios de qualquer maneira?
Sim, embora nem todos os nomes de domínio sejam vazados através de SNI, nos preocupamos com vazamentos de SNI e começamos a trabalhar em SNI criptografado.
O que são heurísticas de DNS sobre HTTPS?
São um conjunto de verificações que o Firefox efetua antes de ativar o DoH por padrão para usuários nas regiões onde foi lançado, para ver se ativar o DoH tem algum impacto negativo (essas verificações são ignoradas se você ativar o DoH explicitamente). Por exemplo, o DoH permanece desativado caso diretivas empresariais ou controles dos pais estejam ativados. Consulte mais informações em Segurança/DNS sobre HTTPS/Heurísticas e Configuração de rede para desativar DNS sobre HTTPS.