Compare Revisions

Firefox; DNS-over-HTTPS; DNS; HTTPS; DoH

Мы изложили здесь список часто задаваемых вопросов, которые могут оказаться полезными при освоении всех возможностей DoH.

Часто задаваемые вопросы по DNS через HTTPS (DoH) Только начали работать с DNS через HTTPS (DoH)? Вам не о чем волноваться! Мы составили для вас список часто задаваемых вопросов, которые помогут вам при освоении всех возможностей DoH. Для получения дополнительной информации прочитайте статью [https://support.mozilla.org/kb/firefox-dns-over-https/ DNS через HTTPS в Firefox]. =Как DNS через HTTPS работает для пользователей Firefox в тех странах, где мы развернули DoH по умолчанию?= ==Какова политика приватности для DNS через HTTPS?== Внедрение DoH — часть нашей работы по защите пользователей от повсеместного онлайн-отслеживания персональных данных. Для этого Mozilla требует от всех DNS-провайдеров, которых можно выбрать в Firefox, соблюдения требований нашей [https://wiki.mozilla.org/Security/DOH-resolver-policy/ Политики для преобразователей] посредством заключения юридически обязывающего контракта. Эти требования налагают жёсткие ограничения на типы данных, которые могут храниться, а также на то, что провайдер может делать с этими данными и сколько может их хранить. Эта строгая политика предназначена для защиты пользователей от провайдеров, которые могут собирать и монетизировать их данные. ==Получат ли пользователи уведомление, когда эта функция будет включена, и можно ли будет от неё отказаться?== Да, уведомление будет отображаться в Firefox и не исчезнет, пока пользователи не примут решение о включении или отключении защиты приватности DNS. ==Будут ли пользователи иметь возможность отключить DoH?== Да, они могут отключить DoH в меню Настройки > Основные > Параметры сети. Они могут отключить DoH и/или выбрать собственного DoH-провайдера, как описано здесь. ==Могут ли пользователи отказаться от использования заранее?== Да, вы можете поменять значение параметра network.trr.mode на 5 вручную в [https://support.mozilla.org/kb/about-config-editor-firefox/ about:config]. Дополнительную информацию о режимах вы можете найти [https://wiki.mozilla.org/Trusted_Recursive_Resolver#network.trr.mode/ здесь]. ==Как DoH будет влиять на компании, в которых используются собственные DNS-решения?== Мы сделали отключение этой функции для компаний максимально простым. В дополнение к этому Firefox будет определять, настроены ли корпоративные политики на устройстве, и будет отключать DoH в случае наличия таких политик. Если вы системный администратор, заинтересованный в том, чтобы узнать, как сконфигурировать корпоративные политики, пожалуйста, ознакомьтесь с документацией [https://support.mozilla.org/products/firefox-enterprise/policies-customization-enterprise/policies-overview-enterprise/ здесь]. ==Как DoH будет влиять на родительский контроль?== Мы знаем, что некоторые провайдеры используют DNS, чтобы предоставлять сервис родительского контроля, который блокирует содержимое для взрослых. По мнению Mozilla, DNS — не лучший подход к реализации родительского контроля, однако мы не хотим ломать существующие сервисы, поэтому проверяем ряд канареечных доменов перед включением DoH. Если эти домены указывают на то, что родительский контроль включён, мы отключаем DoH. Для получения дополнительной информации ознакомьтесь со статьёй из нашего блога: https://blog.mozilla.org/futurereleases/2019/09/06/whats-next-in-making-dns-over-https-the-default/. ==Могут ли сети инициировать проверку канареечного домена всё время и отключать DoH?== Да, канареечные домены — это решения, обеспечивающие наилучшую безопасность при борьбе с сетевыми хакерами и предотвращающие поломки существующих развёрнутых систем. Мы будем следить за их использованием, расследовать любые случаи злоупотреблений и разрабатывать меры по сдерживанию инцидентов. ==Сломают ли DoH сети доставки содержимого (CDN)?== Нам известно, что некоторые CDN используют управление трафиком на основе DNS, на которое может повлиять DoH. Однако наши [https://blog.mozilla.org/futurereleases/2019/04/02/dns-over-https-doh-update-recent-testing-results-and-next-steps/ измерения] указывают на то, что время загрузки страницы при использовании DoH сопоставимо с таковым при использовании обычного DNS. Во время и после периода развёртывания мы будем отслеживать производительность Firefox, чтобы находить дефекты в случае их возникновения. ==Как DoH работает с DNS, использующими расщепление горизонта?== Если Firefox не может разрешить домен с помощью DoH, он будет откатываться на DNS. Это означает, что любые домены, которые доступны только через обычный DNS (потому что они не являются публичными), будут разрешаться таким образом. Если у вас есть домен, который может разрешаться публично, но при этом разрешается иначе внутри компании, вы должны использовать корпоративные настройки для отключения DoH. ==Вы проводите DNSSEC-проверку?== DNSSEC позволяет убедиться, что ответы DNS не были подделаны во время передачи данных, но не шифрует DNS-запросы и ответы. Мы уделяем первостепенное внимание шифрованию DNS при использовании DoH для защиты приватности пользователей. Мы рассматриваем возможность внедрения DNSSEC в будущем. =Партнёрство по DNS через HTTPS= ==Какой преобразователь будет использовать Firefox?== В каждой стране, где мы запускаем DoH, у нас будет преобразователь по умолчанию (например, в США преобразователь по умолчанию — Cloudflare). Пользователи могут выбрать альтернативу из списка [https://wiki.mozilla.org/Security/DOH-resolver-policy#Conforming_Resolvers// дополнительных провайдеров] с помощью нашей программы Проверенных рекурсивных преобразователей (Trusted Recursive Resolver), которая требует удовлетворения требований наших политик в отношении приватности и безопасности пользователей. Со временем мы планируем добавить в нашу программу Проверенных рекурсивных преобразователей ещё больше провайдеров. Кроме того, наше видение заключается в том, чтобы DoH был универсально принят и поддерживался всеми преобразователями DNS. ==Как Mozilla выбирает свои доверенные преобразователи?== Наши преобразователи по умолчанию удовлетворяют строгим [https://wiki.mozilla.org/Security/DOH-resolver-policy/ требованиям политик], действующим у нас в настоящее время. Эти требования закреплены в наших юридически обязывающих контрактах и обнародованы в лучших в своём классе уведомлениях о конфиденциальности, в которых описаны эти политики и которые обеспечивают прозрачность наших действий для пользователей. ==Получает ли Mozilla деньги за маршрутизацию DNS-запросов до своих преобразователей по умолчанию?== Mozilla не получает деньги за маршрутизацию DNS-запросов до своих поставщиков преобразователей по умолчанию. ==Монетизирует ли Mozilla или её преобразователи по умолчанию получаемые данные?== Нет, наша политика открыто запрещает монетизацию этих данных. Цель этой функции — обеспечивать защиту конфиденциальности наших пользователей и усложнять существующим DNS-преобразователям монетизацию DNS-данных пользователей. =Дополнительные сведения о реализации DNS через HTTPS в Firefox= ==Каков график развёртывания?== Мы развернули DoH по умолчанию в США в 2019 году, в Канаде — в 2021 году, в России и на Украине — в марте 2022 года. В настоящее время мы планируем развёртывание по умолчанию в других странах. ==Вы развёртываете эту функцию по умолчанию в Европе?== В рамках нашей постоянной стратегии по тщательной оценке преимуществ и влияния DoH мы выпустили эту функцию по умолчанию только в России, на Украине, а также в США и Канаде. ==Почему Firefox реализует DoH, а не DoT?== Инженерный совет Интернета (IETF) стандартизовал два варианта DNS через защищённые транспортные протоколы: [https://tools.ietf.org/rfcmarkup?doc=7858/ DNS через TLS] (DoT) и [https://tools.ietf.org/rfcmarkup?doc=8484/ DNS через HTTPS] (DoH). Эти два протокола имеют во многом аналогичные свойства касательно безопасности и приватности. Мы выбрали DoH, потому что верим, что он лучше подходит для нашего существующего развитого сетевого стека браузера (который ориентирован на HTTP) и предлагает лучшую поддержку для будущих функций протоколов, таких как HTTP/DNS-мультиплексирование и QUIC. =Не легче ли сетевым операторам обнаруживать и блокировать DoT?= Да, но мы не считаем это преимуществом. Firefox предоставляет операторам сети механизмы, позволяющие сигнализировать о том, что у них есть законные причины для отключения DoH. Мы не считаем, что блокировка подключения к преобразователю является надлежащей мерой. =Разве указание имени сервера (SNI) не приводит к утечке имён доменов?= Да, хотя не все имена доменов утекают через SNI, мы обеспокоены утечками SNI и начали работать над [https://datatracker.ietf.org/doc/draft-ietf-tls-esni/ Зашифрованным SNI].