Nastavení sítě za účelem zakázání DNS over HTTPS

V Mozille věříme, že [[Firefox DNS-over-HTTPS|DNS over HTTPS (DoH)]] je funkce, kterou by měl každý používat ke zvýšení svého soukromí. Šifrováním těchto DNS požadavků DoH skrývá data z vašeho brouzdání před kýmkoliv na síťové cestě mezi vámi a vaším jmenným serverem. Například použití standardních DNS dotazů ve veřejné síti může potenciálně prozradit jiným uživatelům v síti i provozovateli sítě každý web, který navštívíte. I když bychom rádi každého podnítili k tomu, aby používal DoH, uznáváme rovněž, že existuje pár situací, při nichž může být DoH nežádoucí, a sice: *Sítě, které mají implementován nějaký druh filtrování pomocí výchozího DNS resolveru. Typicky se to používá k implementaci rodičovských kontrol a k blokování přístupu ke škodlivým webům. *Sítě, které odpovídají na jména, která jsou soukromá a/nebo které poskytují odlišné odpovědi, než jaké jsou poskytovány veřejně. Například společnost může odhalit pouze adresu aplikace používané zaměstnanci v jejich interní síti. Sítě mohou dát Firefoxu signál, že jsou zavedeny speciální funkce, jako jsou tyto, které by v případě, že by se pro překlad doménových jmen použil DoH, byly potlačeny. Kontrola této signalizace bude ve Firefoxu implementována, až bude DoH uživatelům zapnut ve výchozím nastavení. To se stane nejprve uživatelům ve Spojených státech na podzim roku 2019. Pokud se uživatel rozhodl ručně zapnout DoH, bude nastavení uživatele respektováno a signál od sítě bude ignorován. Chtějí-li správci sítě dát signál, že jejich místní DNS resolver implementoval speciální funkce, jež činí síť nevhodnou pro DoH, mohou nakonfigurovat své sítě následujícím způsobem: DNS dotazy na záznamy typu A a AAAA pro doménu „use-application-dns.net“ musí odpovědět řetězcem NXDOMAIN a nikoliv IP adresou získanou z autoritativního jmenného serveru. Doména „use-application-dns.net“ se označuje jako „kanárková doména“. Někteří současní poskytovatelé filtrování pomocí DNS již implementují podobné domény, aby si uživatelé mohli ověřit, že filtrování funguje. Tato nová doména je odlišná, protože je určena k implementaci do mnoha filtrovacích řešení a také by měla být kontrolována softwarem, jako je Firefox, než aby ji kontroloval přímo uživatel. Tento mechanismus vytvořila Mozilla jako prozatímní opatření, dokud nebude možné schválit trvalejší internetový standard pro signalizaci přítomnosti filtrování obsahu založeného na DNS. Kromě výše popsaného signálu skrze kanárkovou doménu provede Firefox před zapnutím DoH uživateli ještě některé kontroly na síťové funkce, které nejsou kompatibilní s DoH. Tyto kontroly budou provedeny při spuštění prohlížeče a pokaždé, když prohlížeč zjistí, že se přesunul do jiné sítě, například když se notebook používá doma, v práci a v kavárně. Když některá z těchto kontrol ukáže na potenciální problém, Firefox DoH na zbytek relace v dané síti zakáže, pokud uživatel nezapnul v předvolbách DoH permanentně, jak je zmíněno výše. Další kontroly, které budou prováděny pro případ filtrování obsahu, jsou: *Překlad kanárkových domén některých známých poskytovatelů DNS za účelem detekce filtrování obsahu *Překlad variant domén google.com a youtube.com používajících „bezpečné vyhledávání“ za účelem zjištění, zda na ně síť přesměrovává *Ve Windows a macOS detekce zapnuté rodičovské kontroly v operačním systému Další kontroly, které budou prováděny pro případ privátní „podnikové“ sítě, jsou: *Je předvolba Firefoxu {pref security.enterprise_roots.enabled} nastavena na {pref true}? *Jsou nastaveny nějaké [/products/firefox-enterprise/policies-customization-enterprise/manage-settings-policy podnikové zásady]?

V Mozille věříme, že DNS over HTTPS (DoH) je funkce, kterou by měl každý používat ke zvýšení svého soukromí. Šifrováním těchto DNS požadavků DoH skrývá data z vašeho brouzdání před kýmkoliv na síťové cestě mezi vámi a vaším jmenným serverem. Například použití standardních DNS dotazů ve veřejné síti může potenciálně prozradit jiným uživatelům v síti i provozovateli sítě každý web, který navštívíte.

I když bychom rádi každého podnítili k tomu, aby používal DoH, uznáváme rovněž, že existuje pár situací, při nichž může být DoH nežádoucí, a sice:

• Sítě, které mají implementován nějaký druh filtrování pomocí výchozího DNS resolveru. Typicky se to používá k implementaci rodičovských kontrol a k blokování přístupu ke škodlivým webům.
• Sítě, které odpovídají na jména, která jsou soukromá a/nebo které poskytují odlišné odpovědi, než jaké jsou poskytovány veřejně. Například společnost může odhalit pouze adresu aplikace používané zaměstnanci v jejich interní síti.

Sítě mohou dát Firefoxu signál, že jsou zavedeny speciální funkce, jako jsou tyto, které by v případě, že by se pro překlad doménových jmen použil DoH, byly potlačeny. Kontrola této signalizace bude ve Firefoxu implementována, až bude DoH uživatelům zapnut ve výchozím nastavení. To se stane nejprve uživatelům ve Spojených státech na podzim roku 2019. Pokud se uživatel rozhodl ručně zapnout DoH, bude nastavení uživatele respektováno a signál od sítě bude ignorován.

Chtějí-li správci sítě dát signál, že jejich místní DNS resolver implementoval speciální funkce, jež činí síť nevhodnou pro DoH, mohou nakonfigurovat své sítě následujícím způsobem:

DNS dotazy na záznamy typu A a AAAA pro doménu „use-application-dns.net“ musí odpovědět řetězcem NXDOMAIN a nikoliv IP adresou získanou z autoritativního jmenného serveru.

Doména „use-application-dns.net“ se označuje jako „kanárková doména“. Někteří současní poskytovatelé filtrování pomocí DNS již implementují podobné domény, aby si uživatelé mohli ověřit, že filtrování funguje. Tato nová doména je odlišná, protože je určena k implementaci do mnoha filtrovacích řešení a také by měla být kontrolována softwarem, jako je Firefox, než aby ji kontroloval přímo uživatel. Tento mechanismus vytvořila Mozilla jako prozatímní opatření, dokud nebude možné schválit trvalejší internetový standard pro signalizaci přítomnosti filtrování obsahu založeného na DNS.

Kromě výše popsaného signálu skrze kanárkovou doménu provede Firefox před zapnutím DoH uživateli ještě některé kontroly na síťové funkce, které nejsou kompatibilní s DoH. Tyto kontroly budou provedeny při spuštění prohlížeče a pokaždé, když prohlížeč zjistí, že se přesunul do jiné sítě, například když se notebook používá doma, v práci a v kavárně. Když některá z těchto kontrol ukáže na potenciální problém, Firefox DoH na zbytek relace v dané síti zakáže, pokud uživatel nezapnul v předvolbách DoH permanentně, jak je zmíněno výše.

Další kontroly, které budou prováděny pro případ filtrování obsahu, jsou:

• Překlad kanárkových domén některých známých poskytovatelů DNS za účelem detekce filtrování obsahu
• Překlad variant domén google.com a youtube.com používajících „bezpečné vyhledávání“ za účelem zjištění, zda na ně síť přesměrovává
• Ve Windows a macOS detekce zapnuté rodičovské kontroly v operačním systému

Další kontroly, které budou prováděny pro případ privátní „podnikové“ sítě, jsou:

• Je předvolba Firefoxu security.enterprise_roots.enabled nastavena na true?
• Jsou nastaveny nějaké podnikové zásady?