Ξεκινήσατε μόλις τη χρήση της λειτουργίας «DNS over HTTPS» (DoH); Μην ανησυχείτε! Έχουμε συντάξει μια λίστα με συχνές ερωτήσεις που ίσως σας φανούν χρήσιμες καθώς εξερευνάτε τη χρησιμότητα του DoH. Για περισσότερες πληροφορίες, δείτε το Λειτουργία «DNS over HTTPS» στο Firefox.

Τρόπος λειτουργίας του DNS over HTTPS για τους χρήστες του Firefox, στις περιοχές όπου διατίθεται από προεπιλογή

Ποια είναι η πολιτική απορρήτου για το DNS over HTTPS;

Η υλοποίηση του DoH αποτελεί μέρος της δουλειάς μας για την προστασία των χρηστών από την αυξανόμενη διαδικτυακή παρακολούθηση των προσωπικών τους δεδομένων. Για να γίνει αυτό, η Mozilla απαιτεί από όλους τους παρόχους DNS που μπορούν να επιλεχθούν στο Firefox, να συμμορφώνονται με τη δική μας πολιτική ανάλυσης μέσω ενός νομικά δεσμευτικού συμβολαίου. Αυτές οι απαιτήσεις θέτουν αυστηρούς περιορισμούς στον τύπο των δεδομένων που μπορούν να διατηρηθούν, στο πώς μπορεί να διαχειριστεί ο πάροχος αυτά τα δεδομένα και για πόσο καιρό μπορεί να τα διατηρήσει. Αυτή η αυστηρή πολιτική αποσκοπεί στην προστασία των χρηστών από το να μπορούν οι πάροχοι να συλλέγουν και να δημιουργούν έσοδα από τα δεδομένα τους.

Θα ενημερωθούν οι χρήστες όταν ενεργοποιηθεί η λειτουργία και θα είναι δυνατή η απενεργοποίησή της;

Ναι, θα εμφανιστεί μια ειδοποίηση στο Firefox και θα παραμείνει εκεί έως ότου ο χρήστης αποφασίσει να ενεργοποιήσει ή να απενεργοποιήσει την προστασία απορρήτου DNS.

Θα μπορούν οι χρήστες να απενεργοποιήσουν το DoH;

Ναι, μπορούν να απενεργοποιήσουν το DoH, να επιλέξουν τον δικό τους πάροχο DoH και να ορίσουν άλλες ρυθμίσεις από την καρτέλα «Απόρρητο και ασφάλεια» των ρυθμίσεων του Firefox, όπως εξηγεί το άρθρο Ρύθμιση επιπέδων προστασίας του DNS μέσω HTTPS στο Firefox. Ναι, μπορούν να απενεργοποιήσουν το DoH από τις ρυθμίσεις δικτύου του Firefox. Μπορούν να απενεργοποιήσουν το DoH ή/και να επιλέξουν τον δικό τους πάροχο DoH, όπως περιγράφεται εδώ.

Μπορούν οι χρήστες να κάνουν απενεργοποίηση εκ των προτέρων;

Ναι, μπορείτε να ορίσετε το network.trr.mode σε 5 χειροκίνητα, από την Επεξεργασία ρυθμίσεων. Περισσότερες πληροφορίες σχετικά με τις λειτουργίες μπορείτε να βρείτε εδώ.

Πώς θα επηρεάσει το DoH τις επιχειρήσεις με προσαρμοσμένες λύσεις DNS;

Κάναμε ευκολότερο για τις επιχειρήσεις να απενεργοποιήσουν αυτήν τη δυνατότητα. Συγκεκριμένα, το Firefox θα εντοπίσει εάν έχουν εφαρμοστεί πολιτικές επιχειρήσεων στη συσκευή και θα απενεργοποιήσει το DoH σε αυτήν την περίπτωση. Εάν είστε διαχειριστής συστήματος και ενδιαφέρεστε να μάθετε πώς να ρυθμίσετε τις πολιτικές επιχειρήσεων, παρακαλούμε δείτε την τεκμηρίωση.

Πώς θα επηρεάσει το DoH τον γονικό έλεγχο;

Γνωρίζουμε πως ορισμένοι πάροχοι υπηρεσιών διαδικτύου (ISP) χρησιμοποιούν το DNS για να προσφέρουν υπηρεσίες γονικού ελέγχου, οι οποίες αποκλείουν το περιεχόμενο για ενηλίκους. Η Mozilla θεωρεί πως αυτός ο τρόπος χρήσης του DNS δεν είναι ο καλύτερος για την εφαρμογή του γονικού ελέγχου, αλλά επίσης δεν θα θέλαμε να προκαλέσουμε πρόβλημα στις υπάρχουσες υπηρεσίες, οπότε ελέγχουμε μια σειρά από «τομείς canary» (canary domains) πριν από την ενεργοποίηση του DoH. Εάν αυτοί οι τομείς υποδείξουν ότι ο γονικός έλεγχος είναι ενεργός, τότε απενεργοποιούμε το DoH. Για περισσότερες πληροφορίες, δείτε αυτήν την ανάρτηση ιστολογίου της Mozilla.

Δεν μπορούν τα δίκτυα απλώς να ενεργοποιούν τον έλεγχο του τομέα canary συνεχώς και να απενεργοποιούν το DoH;

Ναι, οι τομείς canary αποτελούν μια λύση που προσφέρει την καλύτερη ασφάλεια ενάντια σε επιθέσεις δικτύων και αποτρέπει την πρόκληση δυσλειτουργιών σε υπάρχοντα εταιρικά περιβάλλοντα. Θα παρακολουθούμε τη χρήση τους, διερευνώντας τυχόν περιστατικά κατάχρησης και εξετάζοντας μέτρα για τον περιορισμό τέτοιων περιστατικών.

Θα προκαλέσει το DoH ζητήματα στα Δίκτυα παράδοσης περιεχομένου (CDN);

Γνωρίζουμε ότι ορισμένα CDN χρησιμοποιούν δρομολόγηση κίνησης δικτύου με βάση το DNS, η οποία μπορεί να επηρεαστεί από το DoH. Εξάλλου, οι μετρήσεις μας δείχνουν ότι οι χρόνοι φόρτωσης μια σελίδας με DoH είναι μικρότεροι σε σύγκριση με τους συνηθισμένους χρόνους φόρτωσης μιας κοινής σελίδας με DNS. Κατά τη διάρκεια και μετά την περίοδο διάθεσης, θα παρακολουθούμε την απόδοση του Firefox για να δούμε εάν υπάρχουν ελαττώματα.

Πώς χειρίζεται το Firefox το «split-horizon DNS»;

Εάν το Firefox αποτύχει να αναλύσει έναν τομέα μέσω DoH, θα μεταπέσει στο DNS. Αυτό σημαίνει ότι οποιοσδήποτε τομέας που είναι διαθέσιμος μόνο σε συνηθισμένο DNS (επειδή δεν είναι δημόσιος) θα αναλύεται με αυτόν τον τρόπο. Εάν έχετε κάποιον τομέα που αναλύεται δημόσια, αλλά αναλύεται διαφορετικά στο εσωτερικό του, τότε θα πρέπει να χρησιμοποιήσετε τις εταιρικές ρυθμίσεις για να απενεργοποιήσετε το DoH.

Επικυρώνετε το DNSSEC;

Το DNSSEC διασφαλίζει ότι οι απαντήσεις του DNS δεν έχουν τροποποιηθεί κατά τη μεταφορά, αλλά δεν κρυπτογραφεί αιτήματα και απαντήσεις DNS. Έχουμε δώσει προτεραιότητα στην κρυπτογράφηση του DNS χρησιμοποιώντας το DoH για την προστασία του απορρήτου των χρηστών. Εξετάζουμε την εφαρμογή του DNSSEC στο μέλλον.

Συνεργασίες για το DNS over HTTPS

Ποια υπηρεσία ανάλυσης θα χρησιμοποιεί το Firefox;

Σε κάθε χώρα που θα εφαρμόζουμε το DoH, θα διαθέτουμε μια προεπιλεγμένη υπηρεσία ανάλυσης (π.χ. στις ΗΠΑ η προεπιλεγμένη υπηρεσία είναι το Cloudflare). Οι χρήστες μπορούν εναλλακτικά να επιλέξουν από τη λίστα επιπρόσθετων παρόχων του προγράμματος Trusted Recursive Resolver, το οποίο απαιτεί συμμόρφωση με τις απαιτήσεις της πολιτικής μας αναφορικά με το απόρρητο και την ασφάλεια των χρηστών. Με την πάροδο του χρόνου, αναμένουμε να προσθέσουμε περισσότερους παρόχους στο πρόγραμμα Trusted Recursive Resolver. Επιπλέον, το όραμά μας είναι το DoH να υιοθετηθεί και να υποστηρίζεται παγκοσμίως από όλες τις υπηρεσίες ανάλυσης DNS.

Πώς επιλέγει η Mozilla τις έμπιστες υπηρεσίες ανάλυσής της;

Οι προεπιλεγμένες υπηρεσίες ανάλυσής μας πληρούν τις αυστηρές απαιτήσεις της πολιτικής που έχουμε ορίσει. Αυτές οι απαιτήσεις υποστηρίζονται από νομικά δεσμευτικά συμβόλαια και δημοσιοποιούνται με τις καλύτερες σημειώσεις απορρήτου, που τεκμηριώνουν αυτές τις πολιτικές και παρέχουν διαφάνεια στους χρήστες.

Πληρώνεται η Mozilla για τη δρομολόγηση αιτημάτων DNS στις προεπιλεγμένες υπηρεσίες ανάλυσης;

Δεν γίνεται καμία χρηματική συναλλαγή για τη δρομολόγηση αιτημάτων DNS στους προεπιλεγμένους συνεργάτες ανάλυσής μας.

Η Mozilla ή οι προεπιλεγμένες υπηρεσίες ανάλυσης δημιουργούν έσοδα από αυτά τα δεδομένα;

Όχι, η πολιτική μας απαγορεύει ρητά τη δημιουργία εσόδων από αυτά τα δεδομένα. Στόχος μας με αυτήν τη δυνατότητα είναι να παρέχουμε σημαντική ασφάλεια απορρήτου στους χρήστες μας και να καταστήσουμε δυσκολότερο για τα υπάρχοντα συστήματα ανάλυσης DNS τη δημιουργία εσόδων από τα δεδομένα DNS των χρηστών.

Περισσότερα σχετικά με την υλοποίηση του DNS over HTTPS στο Firefox

Ποιο είναι το χρονοδιάγραμμα διάθεσης;

Διαθέσαμε το DoH στους χρήστες του Firefox στις ΗΠΑ το 2019, στον Καναδά το 2021, στην Ρωσία και την Ουκρανία τον Μάρτιο 2022. Αυτήν τη στιγμή, σχεδιάζουμε τη διάθεση σε περισσότερες τοποθεσίες από προεπιλογή.

Θα διατεθεί αυτή η προεπιλογή στην Ευρώπη;

Ως μέρος της συνεχιζόμενης στρατηγικής μας για την προσεκτική μέτρηση των πλεονεκτημάτων και του αντίκτυπου του DoH, έχουμε διαθέσει αυτήν τη δυνατότητα από προεπιλογή στην Ρωσία, την Ουκρανία, καθώς και στις ΗΠΑ και τον Καναδά μέχρι στιγμής.

Γιατί το Firefox εφαρμόζει το DoH και όχι το DoT;

Το IETF έχει τυποποιήσει δύο DNS μέσω ασφαλών πρωτοκόλλων μεταφοράς, το DNS-over-TLS (DoT) και το DNS-over-HTTPS (DoH). Αυτά τα δύο πρωτόκολλα έχουν γενικά παρόμοιες ιδιότητες ασφάλειας και απορρήτου. Επιλέξαμε το DoH επειδή πιστεύουμε ότι ταιριάζει καλύτερα στην υπάρχουσα λειτουργία δικτύωσης του προγράμματος περιήγησης (η οποία επικεντρώνεται στο HTTP) και παρέχει καλύτερη υποστήριξη για μελλοντικές λειτουργίες πρωτοκόλλου, όπως η πολυπλεξία HTTP/DNS και το QUIC.

Μπορούν οι διαχειριστές δικτύων να εντοπίσουν και να αποκλείσουν ευκολότερα το DoT;

Ναι, δεν πιστεύουμε ότι αυτό αποτελεί πλεονέκτημα. Το Firefox παρέχει μηχανισμούς στους διαχειριστές δικτύων ώστε να ενημερώνουν ότι έχουν έγκυρους λόγους για την απενεργοποίηση του DoH. Δεν πιστεύουμε ότι ο αποκλεισμός της σύνδεσης με την υπηρεσία ανάλυσης είναι η κατάλληλη απάντηση.

Η Ένδειξη ονόματος διακομιστή (SNI) δεν διαρρέει ούτως ή άλλως ονόματα τομέων;

Ναι, αν και δεν διαρρέουν όλα τα ονόματα τομέα μέσω του SNI, ανησυχούμε για τις διαρροές SNI και έχουμε αρχίσει να εργαζόμαστε πάνω στο κρυπτογραφημένο SNI.

Τι είναι η ευρετική μέθοδος του DoH;

Πρόκειται για ένα σύνολο ελέγχων που εκτελεί το Firefox πριν ενεργοποιήσει το DoH από προεπιλογή, για χρήστες στις περιοχές διάθεσης, ώστε να διαπιστώσει εάν η ενεργοποίηση του DoH θα έχει αρνητικό αντίκτυπο. (Αυτοί οι έλεγχοι δεν πραγματοποιούνται εάν ενεργοποιήσατε εσείς το DoH.) Για παράδειγμα, το DoH θα παραμείνει απενεργοποιημένο εάν είναι ενεργοποιημένες οι εταιρικές πολιτικές ή ο γονικός έλεγχος. Για να μάθετε περισσότερα, δείτε το Security/DNS Over HTTPS/Heuristics και το Ρύθμιση δικτύων για την απενεργοποίηση του DNS over HTTPS.