Mục lục…
Giới thiệu DNS-over-HTTPS
Khi bạn nhập địa chỉ web hoặc tên miền vào thanh địa chỉ của bạn (ví dụ: www.mozilla.org), trình duyệt của bạn sẽ gửi yêu cầu qua Internet để tìm địa chỉ IP cho trang web đó.
Theo truyền thống, yêu cầu này được gửi đến các máy chủ qua kết nối văn bản thuần túy. Kết nối này không được mã hóa, giúp bên thứ ba dễ dàng xem trang web mà bạn sắp truy cập.
DNS-over-HTTPS (DoH) sẽ hoạt động theo cách khác. Nó sẽ gửi tên miền bạn đã nhập vào máy chủ DNS tương thích DoH bằng kết nối HTTPS được mã hóa thay vì văn bản thuần túy. Điều này ngăn các bên thứ ba nhìn thấy những trang web bạn đang cố truy cập.
Quyền lợi
DoH cải thiện quyền riêng tư bằng cách ẩn các tra cứu tên miền khỏi ai đó trên WiFi công cộng, ISP của bạn hoặc bất kỳ ai khác trên mạng cục bộ của bạn. DoH, khi được bật, đảm bảo rằng ISP của bạn không thể thu thập và bán thông tin cá nhân liên quan đến hành vi duyệt web của bạn.
Rủi ro
- Một số cá nhân và tổ chức dựa vào DNS để chặn phần mềm độc hại, kích hoạt kiểm soát của phụ huynh hoặc lọc trình duyệt của bạn truy cập vào các trang web. Khi được bật, DoH bỏ qua trình phân giải DNS cục bộ của bạn và bỏ qua các chính sách đặc biệt này. Khi bật DoH theo mặc định cho người dùng, Firefox cho phép người dùng (thông qua cài đặt) và tổ chức (thông qua chính sách doanh nghiệp và tra cứu tên miền hoàng yến) để vô hiệu hóa DoH khi nó can thiệp vào chính sách ưu tiên.
- Ở Mỹ, Firefox theo mặc định hướng các truy vấn DoH đến các máy chủ DNS được điều hành bởi CloudFlare, có nghĩa là CloudFlare có khả năng xem các truy vấn của người dùng. Mozilla có một chính sách Trusted Recursive Resolver (TRR) mạnh mẽ tại chỗ cấm CloudFlare hoặc bất kỳ đối tác DoH nào khác thu thập thông tin nhận dạng cá nhân. Để giảm thiểu rủi ro này, các đối tác của chúng tôi bị ràng buộc theo hợp đồng tuân thủ chính sách này.
- DoH có thể chậm hơn các truy vấn DNS truyền thống, nhưng trong thử nghiệm chúng tôi thấy rằng tác động rất ít và trong nhiều trường hợp DoH nhanh hơn.
Giới thiệu về việc triển khai DNS-over-HTTPS ở Hoa Kỳ
Mozilla đã công bố kế hoạch kích hoạt DoH cho tất cả người dùng máy tính để bàn Firefox tại Hoa Kỳ vào năm 2019. DoH sẽ được kích hoạt cho người dùng ở chế độ “dự phòng”. Ví dụ: nếu vì một số lý do, việc tra cứu tên miền đang sử dụng DoH không thành công, Firefox sẽ quay lại và sử dụng DNS mặc định được cấu hình bởi hệ điều hành (HĐH) thay vì hiển thị lỗi.
Từ chối
Đối với người dùng Firefox hiện có trụ sở tại Hoa Kỳ, thông báo bên dưới sẽ hiển thị nếu và khi DoH được bật lần đầu, cho phép người dùng chọn không sử dụng DoH và thay vào đó tiếp tục sử dụng trình phân giải DNS mặc định của OS.
Ngoài ra, Firefox sẽ kiểm tra một số chức năng có thể bị ảnh hưởng nếu DoH được bật, bao gồm:
- Kiểm soát của phụ huynh được bật?
- Là máy chủ DNS mặc định lọc nội dung độc hại tiềm ẩn?
- Thiết bị có được quản lý bởi một tổ chức có thể có cấu hình DNS đặc biệt không?
Nếu bất kỳ thử nghiệm nào trong số này xác định rằng DoH có thể can thiệp vào chức năng, DoH sẽ không được bật. Các thử nghiệm này sẽ chạy mỗi khi thiết bị kết nối với một mạng khác.
Trong giai đoạn đầu của buổi giới thiệu, DoH sẽ được kích hoạt thông qua một nghiên cứu trong Firefox. Nếu bạn đã chấp nhận thông báo, sau này bạn có thể từ chối bằng cách nhập about:studies trong thanh địa chỉ và tìm kiếm một nghiên cứu đang kích hoạt có tên DNS over HTTPS US Rollout. Nếu điều này tồn tại, bạn có thể loại bỏ nghiên cứu. Vì nghiên cứu có thể đã kích hoạt các kiểm tra được mô tả ở trên, bạn cũng nên làm như sau:
- Nhập about:config trong thanh địa chỉ và nhấp EnterReturn.
Một trang cảnh báo có thể xuất hiện. Nhấp chuột để đi đến trang about:config. - Tìm kiếm tùy chỉnh network.trr.mode để xác nhận rằng giá trị là một trong hai 0 (tắt) hoặc 5 (tắt bởi sự lựa chọn của người dùng).
Để thay đổi giá trị của tùy chỉnh này, nhấp đúp chuột vào nónhấp vào nút Chỉnh sửa , nhập một giá trị mới và nhấp vào dấu tích để lưu thay đổi . Đặt giá trị này thành 5 đảm bảo rằng DoH sẽ không được kích hoạt tự động trong tương lai.
Kích hoạt và vô hiệu hóa thủ công DNS-over-HTTPS
Bạn có thể bật hoặc tắt DoH trong cài đặt kết nối trong Firefox:
Trong thanh Menu ở đầu màn hình, nhấp chuột vào và chọn .Nhấp vào nút menu và chọn .Nhấp vào nút menu và chọn .
- Trong bảng , cuộn xuống Cài đặt mạng và nhấp vào nút .
- Trong hộp thoại mở ra, cuộn xuống đến Kích hoạt DNS qua HTTPS.
- Bật: Chọn hộp kiểm Kích hoạt DNS qua HTTPS. Chọn nhà cung cấp hoặc thiết lập nhà cung cấp tùy chỉnh.
- Tắt: Bỏ chọn hộp kiểm Kích hoạt DNS qua HTTPS.
- Nhấp để lưu các thay đổi của bạn và đóng cửa sổ.
Chuyển đổi nhà cung cấp
Trong thanh Menu ở đầu màn hình, nhấp chuột vào và chọn .Nhấp vào nút menu và chọn .Nhấp vào nút menu và chọn .
- Cuộn xuống đến phần Cài đặt mạng và nhấp vào nút .
- Nhấp vào menu xổ xuống Sử dụng nhà cung cấp dưới Kích hoạt DNS over HTTPS để chọn nhà cung cấp.
- Nhấp ok để lưu các thay đổi của bạn và đóng cửa sổ.
Ngoại trừ các tên miền cụ thể
Bạn có thể định cấu hình các ngoại lệ để Firefox sử dụng trình phân giải của hệ điều hành của bạn thay vì DOH:
- Nhập about:config trong thanh địa chỉ và nhấp EnterReturn.
Một trang cảnh báo có thể xuất hiện. Nhấp chuột để đi đến trang about:config. - Tìm và nhấp đúp chuột vào tùy chỉnh network.trr.excluded-domains.
- Thêm tên miền, được ngăn cách bằng dấu phẩy, vào danh sách và nhấp
Chú ý: Không xóa bất kỳ tên miền nào khỏi danh sách. .
- Nhập about:config trong thanh địa chỉ và nhấp EnterReturn.
Một trang cảnh báo có thể xuất hiện. Nhấp chuột để đi đến trang about:config. - Tìm kiếm network.trr.excluded-domains.
- Nhấp vào nút Chỉnh sửa bên cạnh tùy chỉnh.
- Thêm tên miền, được phân tách bằng dấu phẩy, vào danh sách và nhấp vào dấu tích để lưu thay đổi.
Chú ý: Không xóa bất kỳ tên miền nào khỏi danh sách.
Cấu hình mạng để vô hiệu hóa DOH
Xem bài viết Configuring Networks to Disable DNS over HTTPS và các câu hỏi thường gặp về DNS over HTTPS (DoH).