Činiće runje prěnje kroki z DNS přez HTTPS (DoH)? Žadyn strach! Smy lisćinu husto stajenych prašenjow naćisnyli, kotrež snano za wužitne maće, mjeztym zo so ze wšěm na najnowši staw přinjeseće, štož DoH skići. Za přidatne informacije hlejće Firefox DNS přez HTTPS.

Kak DNS přez HTTPS za wužiwarjow Firefox na zakładźe narodnych šemow funguje, hdźež smy DoH po standardźe dodali

Što su prawidła priwatnosće za DNS přez HTTPS?

Implementowanje DoH je dźěl našeho dźěła za škit wužiwarjow před stajnym prěsćěhowanjom wosobinskich datow online. Zo byšće to činił, žada sej Mozilla ze zakonsce zawjazne dojednanje wote wšěch poskićowarjow DNS, kotřiž dadźa so w Firefox wubrać, zo naše resolwerowe prawidła spjelnjeja. Tute žadanja striktne mjezy na typ datow stajeja, kotrež so maja wobchować, što poskićowar móže z datami činić a kak dołho smě je wobchować. Tute striktne prawidła maja wužiwarjow před tym škitać, zo so jich daty hromadźeja a spjenježuja.

Warnuja wužiwarjow, hdyž to je zmóžnjene a jim so wotpokazanje poskića?

Haj, zdźělenka so w Firefox zjewi a njezhubi so, doniž wužiwar njerozsudźa, hač chce škit priwatnosće DNS zmóžnić abo znjemóžnić.

Móža wužiwarjo DoH znjemóžnić?

Haj, móža DoH znjemóžnić, swójskeho poskićowarja DoH wubrać a konfiguraciske změny we woknje Priwatnosć a wěstota nastajenjow Firefox přewjesć, kaž so to w nastawku Škitne schodźenki DNS přez HTTPS w Firefox konfigurować wujasnja. Yes, they can disable DoH from Firefox Network settings. They can disable DoH and/or select their own DoH provider, as explained here.

Móža wužiwarjo dočasa wotpokazać?

Haj, móžeće network.trr.mode w konfiguraciskim editorje manuelnje na 5 stajić. Přidatne informacije wo modusach móžeće tu namakać (jendźelsce).

Kak budźe so DoH na předewzaća ze swójskimi rozrisanjemi DNS wuskutkować?

Smy za předewzaća zjednorili, tutu funkciju znjemóžnić. Nimo toho Firefox wotkrywa, hač směrnicy předewzaćow su na graće postajili a DoH pod tutymi wuměnjenjemi znjemóžnjeja. Jeli sće systemowy administrator, kiž je na tym zajimowany zhonić, kak dyrbja so směrnicy předewzaća konfigurować, čitajće prošu dokumentaciju.

Kak budźe so DoH na staršiske kontrole wuskutkować?

Wěmy, zo někotři internetni słužbni poskićowarjo (ISP) DNS wužiwaja, zo bychu słužbu staršiskeje kontrole poskićili, kotraž wobsah za dorosćenych blokuje. Měnjenje Mozilla je, zo DNS najlěpše wašnje postupowanja za staršiske kontrole njeje, ale nochcemy ani eksistowace słužby kazyć, tohodla přepruwujemy rjad „canary domains“, prjedy hač DoH zmóžnjamy. Jeli tute domeny podawaja, zo staršiske kontrole su zmóžnjene, znejmóžnjemy DoH. Za přidatne informacije hlejće tutón blogowy přinošk Mozilla. (jendźelsce)

Njemóža syće prosće kontrolu za „canary domain“ wšón čas wuwabić a DoH znjemóžnić?

Haj, „canary domains“ su rozrisanje, kotrež najlěpšu wěstotu skići, zo by přećiwo syćowym nastupnikam wojowało a tomu zadźěwało, zo so eksistowace připrawy wobškodźeja. Dohladujemy jich wužiwanje, přepytujemy znjewužiwanske podawki a wobhladujemy sej naprawy, kotrež te podawki wobsahuja.

Budźe DoH Content Delivery Networks (CDN) kazyć?

Wěmy, zo někotre CDN wobchadne wodźenje na zakładźe DNS wužiwaja, kotrež so přez DoH wobwliwuja. Ale naše měrjenja (jendźelsce) pokazuja, zo začitanske časy stronow DoH su ze wšědnymi začitanskimi časami DNS přirunujomne. Za dodawansku dobu a po njej dohladujemy wukon Firefox, zo bychmy widźeli, hač škody su.

Kak Firefox ze split-horizon DNS wobchadźa?

Jeli Firefox njemóže domenu přez DoH rozpušćić, budźe so k DNS wróćeć. To rěka, zo so někotre domeny, kotrež su jenož za wšědny DNS k dispoziciji (dokelž zjawne njejsu) na tute wašnje rozpušćeja. Jeli domenu maće, kotraž je zjawnje rozpušćomna, ale internje hinak rozpušća, měł wy předewzaćelske nastajenja wužiwać, zo byšće DoH znjemóžnił.

Wobkrućeće DNSSEC?

DNSSEC zaručuje, zo so wotmołwy DNS njemanipuluja, mjeztym zo su w transiće, njezaklučuje wšak naprašowanja a wotmołwy DNS. Smy zaklučowanje DNS z pomocu DoH priorizowali, zo bychmy priwatnosć wužiwarjow škitali. Přemyslujemy wo přichodnej implementaciji DNSSEC.

Partnerstwa DNS přez HTTPS

Kotry resolwer Firefox wužiwa?

W kóždym kraju, w kotrymž DoH startujemy, mamy standardny resolwer (na př. Cloudfare w USA). Wužiwarjo móža alternatiwnje z lisćiny přidatnych poskićowarjow w našim programje Trusted Recursive Resolver wubrać, kotryž sej přihłosowanje k žadanjam našich prawidłow nastupajo priwatnosć a wěstotu wužiwarjow wužaduje. W běhu časa nadźijamy so našemu programej Trusted Recursive Resolver dalšich poskićowarjow přidać. Nimo toho je naša wizija za DoH, zo so uniwerselnje přez wšě resolwery DNS přiměrja a podpěruje.

Kak Mozilla swoje dowěry hódne resolwery wuběra?

Naše standardne resolwery móža striktnym žadanjam prawidłow wotpowědować, kotrež tuchwilu mamy. Tute žadanja so na zakonsce zawjazne dojednanja zepěraja a wozjewjeja so w prěnjorjadnych zdźělenkach priwatnosće, kotrež te prawidła dokumentuja a je za wužiwarjow transparentne činja.

Dóstawa Mozilla płaćenja za słanje naprašowanja DNS na jeho standardne resolwery?

Ně, Mozilla za słanje naprašowanjow DNS na našich partnerow standardnych resolwerow pjenjeze njedóstawa.

Spjenježuja Mozilla abo jeho standadne resolwery tute daty?

Ně, naše prawidła wuraznje zakazuja, tute daty spjenježić. Naš zaměr z tutej funkciju je, našim wužiwarjam wažny škit priwatnosće skićić a eksistowacym resolweram DNS poćežić, daty DNS wužiwarjow spjenježić.

Wjace wo implementaciji DNS přez HTTPS Firefox

Što je waš dodawanski plan?

Smy DoH po standardźe w lěće 2019 w USA, w 2021 w Kanadźe a měrc 2022 w Ruskej a Ukrainje zawjedli. Tuchwilu planujemy standardne zawjedźenja w dalšich krajach.

Budźeće tutón standard w Europje zawjedować?

Jako dźěl našeje trajneje strategije, lěpšiny a wliw DoH swědomiće měrić, smy tutu funkciju po standardźe dotal jenož w Ruskej, Ukrainje kaž tež w USA a Kanadźe zawjedli.

Čehodla Firefox DoH a nic DoT implementuje?

IETF ma dwaj standardizowanej wěstej přenošowanskej protokolej za DNS přez: DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH) (jendźelsce). Tutej dwaj protokolej matej chětro podobne kajkosće priwatnosće a wěstoty. Smy DoH wubrali, dokelž msylimy sej, zo so lěpje k našemu eksistowacemu dozrawjenemu syćowemu staplej hodźi, (kotryž fokus na HTTP staja) a lěpšu podpěru za přichodne protokolowe funkcije kaž HTTP/DNS multiplexing a QUIC skići.

Da so DoT za syćowych wobhospodarjerjow lóšo namakać a blokować?

Haj, myslimy sej, zo to lěpšina njeje. Firefox mechanizmy za syćowych wobhospodarjerjow skići, zo by signalizował, zo tući maja legitimne přičiny, zo bychu DoH znjemóžnili. Njemyslimy sej, zo blokowanje zwiska k resolwerej je přihódna wotmołwa.

Přeradźuje Server Name Indication (SNI) domenowe mjena najebać to?

Haj, hačrunjež so wšě domenowe mjena přez SNI dale njedawaja, starosćimy so wo dźěrach SNI a smy započeli, na zaklučowanym SNI (jendźelsce) dźěłać.

Što su heuristiki DoH?

Je rjad přepruwowanjow, kotrež Firefox přewjedźe, prjedy hač DoH za wužiwarjow w regionach zmóžnja, hdźež DoH je zawjedźeny, zo by widźał, hač DoH negatiwny wuskutk změje. (Tute přepruwowanja so ignoruja, jeli sće DoH eksplicitnje zmóžnił.) DoH na přikład znjemóžnjeny wostawa, jeli předewzaćelske směrnicy abo staršiske kontrole su zmóžnjene. Zo byšće wjace zhonił, hlejće Security/DNS Over HTTPS/Heuristics (jendźelsce) a Configure networks to disable DNS over HTTPS.