Только начали работать с DNS через HTTPS (DoH)? Вам не о чем волноваться! Мы составили для вас список часто задаваемых вопросов, которые помогут вам при освоении всех возможностей DoH. Для получения дополнительной информации прочитайте статью DNS через HTTPS в Firefox.
Оглавление
- 1 Как DNS через HTTPS работает для пользователей Firefox в тех странах, где мы развернули DoH по умолчанию?
- 1.1 Какова политика конфиденциальности для DNS через HTTPS?
- 1.2 Получат ли пользователи уведомление, когда эта функция будет включена, и можно ли будет от неё отказаться?
- 1.3 Будет ли у пользователей возможность отключить DoH?
- 1.4 Могут ли пользователи отказаться от использования заранее?
- 1.5 Как DoH будет влиять на компании, в которых используются собственные DNS-решения?
- 1.6 Как DoH будет влиять на родительский контроль?
- 1.7 Могут ли сети постоянно запускать проверку канареечного домена и отключать DoH?
- 1.8 Сломают ли DoH сети доставки содержимого (CDN)?
- 1.9 Как DoH работает с DNS, использующими расщепление горизонта?
- 1.10 Вы проводите DNSSEC-проверку?
- 2 Партнёрство по DNS через HTTPS
- 3 Дополнительные сведения о реализации DNS через HTTPS в Firefox
Как DNS через HTTPS работает для пользователей Firefox в тех странах, где мы развернули DoH по умолчанию?
Какова политика конфиденциальности для DNS через HTTPS?
Внедрение DoH — часть нашей работы по защите пользователей от повсеместного онлайн-отслеживания персональных данных. Для этого Mozilla требует от всех DNS-провайдеров, которых можно выбрать в Firefox, соблюдения требований нашей Политики преобразователей посредством заключения юридически обязывающего договора. Эти требования налагают жёсткие ограничения на типы данных, которые могут храниться, а также на то, что провайдер может делать с этими данными и сколько может их хранить. Эта строгая политика предназначена для защиты пользователей от провайдеров, которые могут собирать и монетизировать их данные.
Получат ли пользователи уведомление, когда эта функция будет включена, и можно ли будет от неё отказаться?
Да, уведомление будет отображаться в Firefox и не исчезнет, пока пользователи не примут решение о включении или отключении защиты приватности DNS.
Будет ли у пользователей возможность отключить DoH?
Да, они могут отключать DoH, выбрать собственного DoH-провайдера и изменить другие настройки на панели "Приватность и Защита", как описано в статье Настройка уровней защиты DNS через HTTPS в Firefox. Да, они могут отключить DoH в Настройках сети Firefox. Они могут отключить DoH и/или выбрать собственного DoH-провайдера, как описано здесь.
Могут ли пользователи отказаться от использования заранее?
Да, вы можете задать параметру network.trr.mode значение 5 вручную в Редакторе настроек. Дополнительную информацию о режимах можно найти здесь.
Как DoH будет влиять на компании, в которых используются собственные DNS-решения?
Мы сделали отключение этой функции для компаний максимально простым. В дополнение к этому Firefox будет определять, настроены ли корпоративные политики на устройстве, и будет отключать DoH в случае наличия таких политик. Если вы системный администратор и заинтересованы в том, чтобы узнать, как сконфигурировать корпоративные политики, пожалуйста, ознакомьтесь с документацией.
Как DoH будет влиять на родительский контроль?
Мы знаем, что некоторые интернет-провайдеры (ISP) используют DNS, чтобы предоставлять сервис родительского контроля, который блокирует содержимое для взрослых. По мнению Mozilla, DNS — не лучший подход к реализации родительского контроля, однако мы не хотим ломать существующие сервисы, поэтому проверяем ряд канареечных доменов перед включением DoH. Если эти домены указывают на то, что родительский контроль включён, мы отключаем DoH. Для получения дополнительной информации ознакомьтесь с этой статьёй блога Mozilla.
Могут ли сети постоянно запускать проверку канареечного домена и отключать DoH?
Да, канареечные домены — это решения, обеспечивающие наилучшую безопасность при борьбе с сетевыми хакерами и предотвращающие поломки существующих развёрнутых систем. Мы будем следить за их использованием, расследовать любые случаи злоупотреблений и разрабатывать меры по сдерживанию инцидентов.
Сломают ли DoH сети доставки содержимого (CDN)?
Нам известно, что некоторые CDN используют управление трафиком на основе DNS, на которое может повлиять DoH. Однако наши измерения указывают на то, что время загрузки страницы при использовании DoH сопоставимо с таковым при использовании обычного DNS. Во время и после периода развёртывания мы будем отслеживать производительность Firefox, чтобы находить дефекты в случае их возникновения.
Как DoH работает с DNS, использующими расщепление горизонта?
Если Firefox не может разрешить домен с помощью DoH, он будет откатываться на DNS. Это означает, что любые домены, которые доступны только через обычный DNS (потому что они не являются публичными), будут разрешаться таким образом. Если у вас есть домен, который может разрешаться публично, но при этом разрешается иначе внутри компании, вы должны использовать корпоративные настройки для отключения DoH.
Вы проводите DNSSEC-проверку?
DNSSEC позволяет убедиться, что ответы DNS не были подделаны во время передачи данных, но не шифрует DNS-запросы и ответы. Мы уделяем первостепенное внимание шифрованию DNS при использовании DoH для защиты приватности пользователей. Мы рассматриваем возможность внедрения DNSSEC в будущем.
Партнёрство по DNS через HTTPS
Какой преобразователь будет использовать Firefox?
В каждой стране, где мы запускаем DoH, у нас будет преобразователь по умолчанию (например, в США преобразователь по умолчанию — Cloudflare). Пользователи могут выбрать альтернативу из списка дополнительных провайдеров с помощью нашей программы Проверенных рекурсивных преобразователей (Trusted Recursive Resolver), которая требует удовлетворения требований наших политик в отношении приватности и безопасности пользователей. Со временем мы планируем добавить в нашу программу Проверенных рекурсивных преобразователей ещё больше провайдеров. Кроме того, наше видение заключается в том, чтобы DoH был универсально принят и поддерживался всеми преобразователями DNS.
Как Mozilla выбирает свои доверенные преобразователи?
Наши преобразователи по умолчанию удовлетворяют строгим требованиям политик, действующих у нас в настоящее время. Эти требования закреплены в наших юридически обязывающих контрактах и обнародованы в лучших в своём классе уведомлениях о конфиденциальности, в которых описаны эти политики и которые обеспечивают прозрачность наших действий для пользователей.
Платит ли Mozilla за маршрутизацию DNS-запросов к своим преобразователям по умолчанию?
Нет, денежный обмен за маршрутизацию DNS-запросов к нашим партнёрам по преобразователям по умолчанию не производится.
Монетизирует ли Mozilla или её преобразователи по умолчанию получаемые данные?
Нет, наша политика открыто запрещает монетизацию этих данных. Цель этой функции — обеспечивать защиту конфиденциальности наших пользователей и усложнять существующим DNS-преобразователям монетизацию DNS-данных пользователей.
Дополнительные сведения о реализации DNS через HTTPS в Firefox
Каков график развёртывания?
Мы развернули DoH по умолчанию в США в 2019 году, в Канаде — в 2021 году, в России и Украине — в марте 2022 года. В настоящее время мы планируем развёртывание по умолчанию в других странах.
Вы развёртываете эту функцию по умолчанию в Европе?
В рамках нашей постоянной стратегии по тщательной оценке преимуществ и влияния DoH мы выпустили эту функцию по умолчанию только в России, Украине, а также в США и Канаде.
Почему Firefox реализует DoH, а не DoT?
Инженерный совет Интернета (IETF) стандартизовал два варианта DNS через защищённые транспортные протоколы: DNS через TLS (DoT) и DNS через HTTPS (DoH). Эти два протокола имеют во многом аналогичные свойства касательно безопасности и приватности. Мы выбрали DoH, потому что верим, что он лучше подходит для нашего существующего развитого сетевого стека браузера (который ориентирован на HTTP) и предлагает лучшую поддержку для будущих функций протоколов, таких как HTTP/DNS-мультиплексирование и QUIC.
Легче ли операторам сети обнаруживать и блокировать DoT?
Да, но мы не считаем это преимуществом для них. Firefox предоставляет операторам сети механизмы, позволяющие сигнализировать о том, что у них есть законные причины для отключения DoH. Мы не считаем, что блокировка подключения к преобразователю является подходящей мерой.
Разве указание имени сервера (SNI) не приводит к утечке имён доменов?
Да, хотя не все имена доменов утекают через SNI, мы обеспокоены утечками SNI и начали работать над Зашифрованным SNI.
Что такое эвристик DoH?
Это набор проверок, которые Firefox выполняет перед включением DoH по умолчанию для пользователей в регионах развертывания, чтобы увидеть, окажет ли включение DoH негативное влияние. (Эти проверки игнорируются, если вы явно включили DoH.) Например, DoH останется отключенным, если включены корпоративные политики или родительский контроль. Дополнительные сведения см. в Безопасность/DNS через HTTPS/Эвристику и Настройка сетей для отключения DNS через HTTPS.