Právě začínáte s DNS over HTTPS (DoH)? Není třeba se obávat! Zde uvádíme seznam často kladených otázek, které vám mohou pomoci seznámit se se vším, co DoH nabízí. Další informace pak naleznete v článku [[Firefox DNS-over-HTTPS]]. __TOC__ =Jak DNS over HTTPS funguje pro uživatele Firefoxu se sídlem v USA= ==Jaké jsou zásady ochrany osobních údajů pro DNS over HTTPS?== Implementace DoH je součástí naší práce na ochraně uživatelů před na internetu všudypřítomným sledováním osobních dat. Mozilla za tím účelem vyžaduje, aby všichni poskytovatelé DNS, které je možno si ve Firefoxu zvolit, dodržovali prostřednictvím právně závazné smlouvy naše [https://wiki.mozilla.org/Security/DOH-resolver-policy zásady pro resolvery]. Tyto požadavky kladou přísná omezení na to, jaký typ údajů může být uchováván, co může poskytovatel s těmito údaji dělat a jak dlouho je může uchovávat. Účelem těchto přísných zásad je ochrana uživatelů před tím, aby poskytovatelé mohli jejich data shromažďovat a zpeněžit. ==Budou uživatelé při zapnutí DoH upozorněni a budou mít možnost odmítnout?== Ano, zobrazí se vyskakovací okno a nezmizí, dokud uživatel nerozhodne, zda se mu má DoH zapnout nebo nemá. [[Image:DoH Opt Out]] ==Budou uživatelé moci DoH později vypnout?== Ano, DoH je možné vypnout z '''Možnosti/Předvolby > Obecné > Nastavení sítě'''. Zde mohou uživatelé DoH vypnout nebo vybrat vlastního poskytovatele DoH, jak je vysvětleno [[Firefox DNS-over-HTTPS#w_rulunag-zapnutag-a-vypnutag-dns-over-https|v jiném článku]]. ==Mohou uživatelé odmítnout DoH už předem?== Ano, na stránce [[Configuration Editor for Firefox|about<nowiki>:</nowiki>config]] nastavením předvolby {pref network.trr.mode} na hodnotu {pref 5}. Bližší informace o těchto režimech lze najít [https://wiki.mozilla.org/Trusted_Recursive_Resolver#network.trr.mode zde]. ==Jaký bude mít DoH dopad na podniky s vlastním DNS řešením?== Podnikům jsme usnadnili vypnutí této funkce. Kromě toho Firefox zjistí, jestli byly v zařízení nastaveny podnikové zásady, a za takových okolností DoH vypne. Pokud jste správce systému a zajímá vás, jak nakonfigurovat podnikové zásady, přečtěte si prosím [https://support.mozilla.org/en-US/products/firefox-enterprise/policies-customization-enterprise/policies-overview-enterprise dokumentaci]. ==Jaký bude mít DoH dopad na rodičovskou kontrolu?== Víme, že někteří poskytovatelé internetových služeb používají DNS k poskytování služby rodičovské kontroly, která blokuje obsah pro dospělé. Mozilla zastává názor, že DNS nepředstavuje nejvhodnější způsob realizace rodičovské kontroly, ale rovněž nechceme porušovat stávající služby, takže před zapnutím DoH zkontrolujeme celou řadu kanárkových domén. Pokud tyto domény naznačují, že je zapnuta rodičovská kontrola, potom DoH nezapneme. Bližší informace naleznete [https://blog.mozilla.org/futurereleases/2019/09/06/whats-next-in-making-dns-over-https-the-default/ zde]. ==Nemohou prostě sítě neustále spouštět kontrolu kanárkové domény a vypnout DoH?== Ano, kanárkové domény jsou řešením, které nabízí nejlepší zabezpečení v boji proti síťovým útočníkům a které umožňuje předejít porušení přítomných služeb a funkcí. Budeme sledovat jejich používání, prošetřovat případy zneužití a hledat opatření k omezení takových případů. ==Poruší DoH sítě pro doručování obsahu (CDN)?== Jsme si vědomi, že některé [https://cs.wikipedia.org/wiki/Content_delivery_network CDN] používají řízení provozu založené na DNS, které může být metodou DoH ovlivněno. Naše [https://blog.mozilla.org/futurereleases/2019/04/02/dns-over-https-doh-update-recent-testing-results-and-next-steps/ měření] však ukazují, že doby načítání stránek u DoH jsou konkurenceschopné v porovnání s dobami načítání stránek u běžných DNS. Během a po období zavádění DoH budeme monitorovat výkon Firefoxu, abychom zjistili, jestli se nevyskytují nějaké závady. ==Jak se Firefox vypořádá s DNS s rozděleným horizontem (split-horizon)?== Jestliže Firefox nedokáže přeložit doménu prostřednictvím DoH, přepne zpět na DNS. To znamená, že všechny domény, které jsou dostupné pouze na běžném DNS (protože nejsou veřejné), budou překládány tímto způsobem. Pokud máte doménu, kterou je možno při veřejném přístupu překládat, ale vnitropodnikově se překládá jinak, měli byste pomocí podnikového nastavení DoH vypnout. ==Provádíte DNSSEC ověřování?== [https://cs.wikipedia.org/wiki/Domain_Name_System_Security_Extensions DNSSEC] zajišťuje, že DNS odpovědi nebyly během přenosu zfalšovány, ale DNS dotazy a odpovědi nešifruje. Za účelem ochrany soukromí uživatelů jsme dali přednost šifrování DNS pomocí DoH. Do budoucna uvažujeme o implementaci DNSSEC. Cloudflare provádí DNSSEC ověřování u dotazů, které Firefox odesílá jejich DoH resolveru (překladači). To však nezaručuje ucelenou integritu DNS dat. Momentálně zavádíme DoH v „záložním režimu“, což znamená, že jakákoli chyba vrácená resolverem společnosti Cloudflare, jako je nezdařené DNSSEC ověření, způsobí, že Firefox namísto zahlášení chyby zopakuje dotaz pomocí resolveru operačního systému. =Partnerská spolupráce při zajištění DNS over HTTPS= ==Jaký resolver bude Firefox používat?== Naše počáteční spuštění, které probíhá pouze v USA, stanovuje jako výchozí resolver Cloudflare. Uživatelé si mohou v našem programu Trusted Recursive Resolver, jenž vyžaduje dodržování našich [https://wiki.mozilla.org/Security/DOH-resolver-policy/ požadavků] na soukromí a bezpečnost uživatelů, střídavě vybírat ze seznamu [https://wiki.mozilla.org/Security/DOH-resolver-policy#Conforming_Resolvers/ dalších poskytovatelů]. Očekáváme, že v průběhu času tento náš program rozšíříme o další poskytovatele. Naší vizí navíc je, aby byl DoH přijat a podporován obecně všemi DNS resolvery. ==Jak Mozilla jako důvěryhodný resolver vybrala právě Cloudflare?== Společnost Cloudflare dokázala splnit přísné [https://wiki.mozilla.org/Security/DOH-resolver-policy požadavky na zásady], které máme v současné době v účinnosti. Tyto požadavky jsou doloženy v naší právně závazné smlouvě se společností Cloudflare a byly zveřejněny ve svého druhu nejlepším [https://developers.cloudflare.com/1.1.1.1/commitment-to-privacy/privacy-policy/firefox/ oznámení o ochraně osobních údajů], které tyto zásady dokumentuje a poskytuje uživatelům transparentnost. ==Dostává Mozilla za směrování DNS požadavků na Cloudflare zaplaceno?== Za směrování DNS požadavků na Cloudflare nedochází k žádným platbám. ==Zpeněžuje tato data Mozilla nebo Cloudflare?== Ne, naše zásady výslovně zakazují zpeněžení těchto dat. Naším cílem s touto funkcí je poskytovat našim uživatelům významnou ochranu soukromí a ztěžovat stávajícím DNS resolverům zpeněžování DNS dat uživatelů. =Další informace o implementaci DNS over HTTPS ve Firefoxu= ==Jaký je váš plán zavádění DoH?== Postupné zavádění zahájíme v říjnu 2019 pouze v USA. To znamená, že začneme s malým počtem uživatelů a za průběžného ověřování, zda nedochází k problémům, DoH postupně přineseme všem uživatelům. Podrobnosti naleznete [https://bugzilla.mozilla.org/show_bug.cgi?id=1573840 zde]. ==Postupujete takto i v Evropě?== V rámci naší pokračující strategie pečlivého zjišťování přínosů a dopadů metody DoH jsme v současné době zaměřeni na spouštění této funkce pouze v USA. ==Proč Firefox implementuje DoH a ne DoT?== Organizace [https://cs.wikipedia.org/wiki/Internet_Engineering_Task_Force IETF] standardizovala dva protokoly pro zabezpečený přenos DNS dotazů a odpovědí: [https://tools.ietf.org/rfcmarkup?doc=7858 DNS over TLS] (DoT) a [https://tools.ietf.org/rfcmarkup?doc=8484 DNS over HTTPS] (DoH). Tyto dva protokoly mají značně podobné vlastnosti ohledně zabezpečení a ochrany soukromí. Zvolili jsme DoH, protože věříme, že se lépe slučuje s [https://cs.wikipedia.org/wiki/Protokolový_zásobník protokolovým zásobníkem] (jenž je zaměřen na HTTP) našeho současného vyspělého prohlížeče a poskytuje lepší podporu budoucích funkcí protokolů, jako jsou např. HTTP/DNS multiplexing a QUIC. ==Je DoT pro provozovatele sítí snadnější detekovat a blokovat?== Ano, a nemyslíme si, že je to výhoda. Firefox poskytuje provozovatelům sítí mechanismy pro signalizaci, že mají opodstatněné důvody pro vypnutí DoH. Nejsme přesvědčeni, že blokování připojení k resolveru je vhodnou odezvou. ==Neprozradí snad tak či tak doménová jména metoda Server Name Indication (SNI)?== Ano, a ačkoli ne všechna doménová jména se prostřednictvím [https://cs.wikipedia.org/wiki/Server_Name_Indication SNI] prozradí, toto prozrazování nás znepokojuje a začali jsme pracovat na [https://datatracker.ietf.org/doc/draft-ietf-tls-esni/ šifrovaném SNI].

Právě začínáte s DNS over HTTPS (DoH)? Není třeba se obávat! Zde uvádíme seznam často kladených otázek, které vám mohou pomoci seznámit se se vším, co DoH nabízí. Další informace pak naleznete v článku DNS over HTTPS ve Firefoxu.

Jak DNS over HTTPS funguje pro uživatele Firefoxu se sídlem v USA

Jaké jsou zásady ochrany osobních údajů pro DNS over HTTPS?

Implementace DoH je součástí naší práce na ochraně uživatelů před na internetu všudypřítomným sledováním osobních dat. Mozilla za tím účelem vyžaduje, aby všichni poskytovatelé DNS, které je možno si ve Firefoxu zvolit, dodržovali prostřednictvím právně závazné smlouvy naše zásady pro resolvery. Tyto požadavky kladou přísná omezení na to, jaký typ údajů může být uchováván, co může poskytovatel s těmito údaji dělat a jak dlouho je může uchovávat. Účelem těchto přísných zásad je ochrana uživatelů před tím, aby poskytovatelé mohli jejich data shromažďovat a zpeněžit.

Budou uživatelé při zapnutí DoH upozorněni a budou mít možnost odmítnout?

Ano, zobrazí se vyskakovací okno a nezmizí, dokud uživatel nerozhodne, zda se mu má DoH zapnout nebo nemá.

Budou uživatelé moci DoH později vypnout?

Ano, DoH je možné vypnout z Možnosti/Předvolby > Obecné > Nastavení sítě. Zde mohou uživatelé DoH vypnout nebo vybrat vlastního poskytovatele DoH, jak je vysvětleno v jiném článku.

Mohou uživatelé odmítnout DoH už předem?

Ano, na stránce about:config nastavením předvolby network.trr.mode na hodnotu 5. Bližší informace o těchto režimech lze najít zde.

Jaký bude mít DoH dopad na podniky s vlastním DNS řešením?

Podnikům jsme usnadnili vypnutí této funkce. Kromě toho Firefox zjistí, jestli byly v zařízení nastaveny podnikové zásady, a za takových okolností DoH vypne. Pokud jste správce systému a zajímá vás, jak nakonfigurovat podnikové zásady, přečtěte si prosím dokumentaci.

Jaký bude mít DoH dopad na rodičovskou kontrolu?

Víme, že někteří poskytovatelé internetových služeb používají DNS k poskytování služby rodičovské kontroly, která blokuje obsah pro dospělé. Mozilla zastává názor, že DNS nepředstavuje nejvhodnější způsob realizace rodičovské kontroly, ale rovněž nechceme porušovat stávající služby, takže před zapnutím DoH zkontrolujeme celou řadu kanárkových domén. Pokud tyto domény naznačují, že je zapnuta rodičovská kontrola, potom DoH nezapneme. Bližší informace naleznete zde.

Nemohou prostě sítě neustále spouštět kontrolu kanárkové domény a vypnout DoH?

Ano, kanárkové domény jsou řešením, které nabízí nejlepší zabezpečení v boji proti síťovým útočníkům a které umožňuje předejít porušení přítomných služeb a funkcí. Budeme sledovat jejich používání, prošetřovat případy zneužití a hledat opatření k omezení takových případů.

Poruší DoH sítě pro doručování obsahu (CDN)?

Jsme si vědomi, že některé CDN používají řízení provozu založené na DNS, které může být metodou DoH ovlivněno. Naše měření však ukazují, že doby načítání stránek u DoH jsou konkurenceschopné v porovnání s dobami načítání stránek u běžných DNS. Během a po období zavádění DoH budeme monitorovat výkon Firefoxu, abychom zjistili, jestli se nevyskytují nějaké závady.

Jak se Firefox vypořádá s DNS s rozděleným horizontem (split-horizon)?

Jestliže Firefox nedokáže přeložit doménu prostřednictvím DoH, přepne zpět na DNS. To znamená, že všechny domény, které jsou dostupné pouze na běžném DNS (protože nejsou veřejné), budou překládány tímto způsobem. Pokud máte doménu, kterou je možno při veřejném přístupu překládat, ale vnitropodnikově se překládá jinak, měli byste pomocí podnikového nastavení DoH vypnout.

Provádíte DNSSEC ověřování?

DNSSEC zajišťuje, že DNS odpovědi nebyly během přenosu zfalšovány, ale DNS dotazy a odpovědi nešifruje. Za účelem ochrany soukromí uživatelů jsme dali přednost šifrování DNS pomocí DoH. Do budoucna uvažujeme o implementaci DNSSEC.

Cloudflare provádí DNSSEC ověřování u dotazů, které Firefox odesílá jejich DoH resolveru (překladači). To však nezaručuje ucelenou integritu DNS dat. Momentálně zavádíme DoH v „záložním režimu“, což znamená, že jakákoli chyba vrácená resolverem společnosti Cloudflare, jako je nezdařené DNSSEC ověření, způsobí, že Firefox namísto zahlášení chyby zopakuje dotaz pomocí resolveru operačního systému.

Partnerská spolupráce při zajištění DNS over HTTPS

Jaký resolver bude Firefox používat?

Naše počáteční spuštění, které probíhá pouze v USA, stanovuje jako výchozí resolver Cloudflare. Uživatelé si mohou v našem programu Trusted Recursive Resolver, jenž vyžaduje dodržování našich požadavků na soukromí a bezpečnost uživatelů, střídavě vybírat ze seznamu dalších poskytovatelů. Očekáváme, že v průběhu času tento náš program rozšíříme o další poskytovatele. Naší vizí navíc je, aby byl DoH přijat a podporován obecně všemi DNS resolvery.

Jak Mozilla jako důvěryhodný resolver vybrala právě Cloudflare?

Společnost Cloudflare dokázala splnit přísné požadavky na zásady, které máme v současné době v účinnosti. Tyto požadavky jsou doloženy v naší právně závazné smlouvě se společností Cloudflare a byly zveřejněny ve svého druhu nejlepším oznámení o ochraně osobních údajů, které tyto zásady dokumentuje a poskytuje uživatelům transparentnost.

Dostává Mozilla za směrování DNS požadavků na Cloudflare zaplaceno?

Za směrování DNS požadavků na Cloudflare nedochází k žádným platbám.

Zpeněžuje tato data Mozilla nebo Cloudflare?

Ne, naše zásady výslovně zakazují zpeněžení těchto dat. Naším cílem s touto funkcí je poskytovat našim uživatelům významnou ochranu soukromí a ztěžovat stávajícím DNS resolverům zpeněžování DNS dat uživatelů.

Další informace o implementaci DNS over HTTPS ve Firefoxu

Jaký je váš plán zavádění DoH?

Postupné zavádění zahájíme v říjnu 2019 pouze v USA. To znamená, že začneme s malým počtem uživatelů a za průběžného ověřování, zda nedochází k problémům, DoH postupně přineseme všem uživatelům. Podrobnosti naleznete zde.

Postupujete takto i v Evropě?

V rámci naší pokračující strategie pečlivého zjišťování přínosů a dopadů metody DoH jsme v současné době zaměřeni na spouštění této funkce pouze v USA.

Proč Firefox implementuje DoH a ne DoT?

Organizace IETF standardizovala dva protokoly pro zabezpečený přenos DNS dotazů a odpovědí: DNS over TLS (DoT) a DNS over HTTPS (DoH). Tyto dva protokoly mají značně podobné vlastnosti ohledně zabezpečení a ochrany soukromí. Zvolili jsme DoH, protože věříme, že se lépe slučuje s protokolovým zásobníkem (jenž je zaměřen na HTTP) našeho současného vyspělého prohlížeče a poskytuje lepší podporu budoucích funkcí protokolů, jako jsou např. HTTP/DNS multiplexing a QUIC.

Je DoT pro provozovatele sítí snadnější detekovat a blokovat?

Ano, a nemyslíme si, že je to výhoda. Firefox poskytuje provozovatelům sítí mechanismy pro signalizaci, že mají opodstatněné důvody pro vypnutí DoH. Nejsme přesvědčeni, že blokování připojení k resolveru je vhodnou odezvou.

Neprozradí snad tak či tak doménová jména metoda Server Name Indication (SNI)?

Ano, a ačkoli ne všechna doménová jména se prostřednictvím SNI prozradí, toto prozrazování nás znepokojuje a začali jsme pracovat na šifrovaném SNI.