Тільки починаєте працювати з DNS через HTTPS (DoH)? Не хвилюйтеся! Тут ми виклали список поширених запитань, які будуть корисними при ознайомленні з можливостями DoH. Додаткові відомості можна знайти у статті Firefox DNS через HTTPS.
Зміст
- 1 Як DNS через HTTPS працює для користувачів Firefox там, де DoH було встановлено за замовчуванням
- 1.1 Яка політика конфіденційності DNS через HTTPS?
- 1.2 Чи будуть користувачі попереджені про під'єднання та чи буде можливість відмовитися?
- 1.3 Чи зможуть користувачі вимкнути DoH?
- 1.4 Чи зможуть користувачі відмовитися наперед?
- 1.5 Як DoH вплине на підприємства з користувацькими рішеннями DNS?
- 1.6 Як DoH вплине на батьківський контроль?
- 1.7 Чи можуть мережі просто завжди запускати перевірку домену canary і вимикати DoH?
- 1.8 Чи перериватиме DoH Мережі доставки контенту (CDN)?
- 1.9 Як Firefox обробляє DNS із розділеним горизонтом?
- 1.10 Чи перевіряється DNSSEC?
- 2 Партнерства DNS через HTTPS
- 3 Докладніше про впровадження Firefox DNS через HTTPS
Як DNS через HTTPS працює для користувачів Firefox там, де DoH було встановлено за замовчуванням
Яка політика конфіденційності DNS через HTTPS?
Впровадження DoH є частиною нашої роботи з захисту користувачів від поширеного відстеження персональних даних в інтернеті. Для цього Mozilla вимагає, щоб усі провайдери DNS, які можуть бути обрані в Firefox, дотримувалися нашої політики розпізнавача за юридично зобов'язуючим контрактом. Ці вимоги встановлюють жорсткі обмеження на тип даних, які можуть зберігатися, на термін їх зберігання та спосіб використання. Ця сувора політика призначена для захисту користувачів від провайдерів, що можуть збирати і монетизувати їх дані.
Чи будуть користувачі попереджені про під'єднання та чи буде можливість відмовитися?
Так, повідомлення буде показано у Firefox і не зникне поки користувач не прийме рішення про ввімкнення або вимкнення захисту конфіденційності DNS.
Чи зможуть користувачі вимкнути DoH?
Так, DoH можна вимкнути, вибравши свого постачальника DoH і виконавши інші зміни конфігурації на панелі Приватність і безпека у налаштуваннях Firefox, як пояснено у статті Налаштування рівнів захисту DNS поверх HTTPS у Firefox.
Так, DoH можна вимкнути у налаштуваннях мереж Firefox. Там можна вимкнути DoH та/або вибрати свого провайдера DoH, як описано тут.
Чи зможуть користувачі відмовитися наперед?
Так, ви можете встановити network.trr.mode на 5 вручну в редакторі конфігурацій. Додаткову інформацію про режими можна знайти тут.
Як DoH вплине на підприємства з користувацькими рішеннями DNS?
Підприємствам буде легко вимкнути цю функцію. Крім того, Firefox розпізнає встановлені корпоративні налаштування на пристрої і вимкне для них DoH. Якщо ви системний адміністратор і хочете дізнатися, як налаштувати корпоративні політики, ознайомтеся з документацією тут.
Як DoH вплине на батьківський контроль?
Деякі інтернет-провайдери (ISP) використовують DNS для послуги батьківського контролю, що блокує контент для дорослих. На наш погляд DNS – не найкраще рішення для батьківського контролю, але ми не хочемо впливати на існуючі сервіси, тому перевіряємо ряд доменів canary, перш ніж увімкнути DoH. Якщо ці домени вказують, що батьківський контроль увімкнено, ми вимикаємо DoH. Додаткову інформацію можна знайти у цьому доипсі блогу.
Чи можуть мережі просто завжди запускати перевірку домену canary і вимикати DoH?
Так, домени canary – це найкраще рішення з безпеки та боротьби з мережевими зловмисниками і запобігання зламу існуючих розгортань. Ми будемо стежити за їх використанням, розслідувати будь-які випадки зловживань і запобігати їм.
Чи перериватиме DoH Мережі доставки контенту (CDN)?
Нам відомо, що деякі CDN використовують керування трафіком на базі DNS, на яке може вплинути DoH. Однак наші вимірювання показують, що час завантаження сторінок DoH можна порівняти зі звичайним часом завантаження сторінок DNS. Під час впровадження та після нього ми стежитимемо за продуктивністю Firefox для виявлення будь-яких дефектів.
Як Firefox обробляє DNS із розділеним горизонтом?
Якщо Firefox не зможе відкрити домен через DoH, він повернеться в DNS. Це означає, що будь-які домени, доступні тільки в звичайному DNS (оскільки вони не є загальнодоступними), будуть відкриті таким чином. Якщо у вас є загальнодоступний домен, який всередині відкривається по-іншому, ви маєте використовувати стандартні налаштування, щоб вимкнути DoH.
Чи перевіряється DNSSEC?
DNSSEC гарантує, що відповіді DNS не були підроблені під час передачі даних, але не шифрує запити і відповіді DNS. Ми приділили пріоритетну увагу шифруванню DNS за допомогою DoH для захисту конфіденційності користувачів. Розглядається можливість майбутнього впровадження DNSSEC.
Партнерства DNS через HTTPS
Який розпізнавач використовуватиме Firefox?
У кожній країні, де запускається DoH, буде свій розпізнавач за замовчуванням (наприклад, в США за замовчуванням використовується Cloudflare). Користувачі можуть по черзі вибирати зі списку додаткових провайдерів у нашій програмі Trusted Recursive Resolver, яка вимагає дотримання вимог нашої політики конфіденційності та безпеки користувачів. З часом ми плануємо додати більше провайдерів до нашої надійної програми рекурсивного розпізнавання. Крім того, ми прагнемо до загального прийняття DoH і його підтримки усіма розпізнавачами DNS.
Як Mozilla вибирає свої довірені розпізнавачі?
Наші розпізнавачі за замовчуванням відповідають нашим діючим вимогам політики. Ці вимоги підкріплені юридично обов'язковими контрактами та оприлюднені в кращих у своєму класі повідомленнях про конфіденційність, де ці вимоги задокументовано у прозорій для користувачів формі.
Чи отримує Mozilla плату за маршрутизацію запитів DNS до своїх розпізнавачів за замовчуванням?
Ми не отримуємо гроші на маршрутизацію запитів DNS нашим партнерам-розпізнавачам за замовчуванням.
Чи монетизує Mozilla або її розпізнавачі за замовчуванням ці дані?
Ні, наша політика відкрито забороняє монетизувати ці дані. Наша мета – забезпечити за допомогою цієї функції захист конфіденційності наших користувачів і ускладнити монетизацію даних DNS користувачів існуючими розпізнавачами DNS.
Докладніше про впровадження Firefox DNS через HTTPS
Який ваш графік впровадження?
Ми впровадили розпізнавачі за замовчуванням DoH в США в 2019 році, в Канаді в 2021 році, а в Україні та Росії – у березні 2022 року. В даний час ми плануємо впровадження у додаткових регіонах.
Чи впроваджуються розпізнавачі за замовчуванням у Європі?
В рамках нашої поточної стратегії ретельного вимірювання переваг і впливу DoH ми запустили цю функцію тільки в Україні, а також у США, Канаді та Росії.
Чому Firefox впроваджує DoH, а не DoT?
IETF стандартизувала два DNS за захищеними транспортними протоколами: DNS через TLS (DoT) і DNS через HTTPS (DoH). Ці два протоколи мають у цілому схожі функції безпеки та конфіденційності. Ми обрали DoH, тому що вважаємо, що він краще підходить для нашого існуючого розвинутого мережевого стека браузера (орієнтованого на HTTP) і забезпечує кращу підтримку майбутніх функцій протоколу, таких як мультиплексування HTTP/DNS і QUIC.
Чи легше мережевим операторам виявити і заблокувати DoT?
Так, ми не вважаємо це перевагою. Firefox надає мережевим операторам механізми, що дозволяють їм повідомляти про наявність законних причин для відключення DoH. Ми не вважаємо, що блокування підключення до розпізнавача є доречним.
Чи не призводить Зазначення імені сервера (SNI) до витоку доменних імен?
Так, хоча не всі доменні імена витікають через SNI, ми стурбовані такими витоками і почали роботу над зашифрованим SNI.