Činiće runje prěnje kroki z DNS přez HTTPS (DoH)? Žadyn strach! Smy lisćinu husto stajenych prašenjow naćisnyli, kotrež snano za wužitne maće, mjeztym zo so ze wšěm na najnowši staw přinjeseće, štož DoH skići. Za přidatne informacije hlejće [[Firefox DNS-over-HTTPS]]. __TOC__ =Kak DNS přez HTTPS za wužiwarjow Firefox na zakładźe narodnych šemow funguje, hdźež smy DoH po standardźe dodali= ==Što su prawidła priwatnosće za DNS přez HTTPS?== Implementowanje DoH je dźěl našeho dźěła za škit wužiwarjow před stajnym prěsćěhowanjom wosobinskich datow online. Zo byšće to činił, žada sej Mozilla ze zakonsce zawjazne dojednanje wote wšěch poskićowarjow DNS, kotřiž dadźa so w Firefox wubrać, zo naše [https://wiki.mozilla.org/Security/DOH-resolver-policy resolwerowe prawidła] spjelnjeja. Tute žadanja striktne mjezy na typ datow stajeja, kotrež so maja wobchować, što poskićowar móže z datami činić a kak dołho smě je wobchować. Tute striktne prawidła maja wužiwarjow před tym škitać, zo so jich daty hromadźeja a spjenježuja. ==Warnuja wužiwarjow, hdyž to je zmóžnjene a jim so wotpokazanje poskića?== Haj, zdźělenka so w Firefox zjewi a njezhubi so, doniž wužiwar njerozsudźa, hač chce škit priwatnosće DNS zmóžnić abo znjemóžnić. [[Image:OptIn_Infobar]] ==Móža wužiwarjo DoH znjemóžnić?== {for fx114}Haj, móža DoH znjemóžnić, swójskeho poskićowarja DoH wubrać a konfiguraciske změny we woknje {menu Priwatnosć a wěstota} nastajenjow Firefox přewjesć, kaž so to w nastawku [[Configure DNS over HTTPS protection levels in Firefox]] wujasnja.{/for} {for not fx114}Yes, they can disable DoH from [[Connection settings in Firefox|Firefox Network settings]]. They can disable DoH and/or select their own DoH provider, as [[Firefox DNS-over-HTTPS#w_manually-enabling-and-disabling-dns-over-https|explained here]].{/for} ==Móža wužiwarjo dočasa wotpokazać?== Haj, móžeće {pref network.trr.mode} w [[Configuration Editor for Firefox|konfiguraciskim editorje]] manuelnje na {pref 5} stajić. Přidatne informacije wo modusach móžeće [https://wiki.mozilla.org/Trusted_Recursive_Resolver#network.trr.mode tu namakać] (jendźelsce). ==Kak budźe so DoH na předewzaća ze swójskimi rozrisanjemi DNS wuskutkować?== Smy za předewzaća zjednorili, tutu funkciju znjemóžnić. Nimo toho Firefox wotkrywa, hač směrnicy předewzaćow su na graće postajili a DoH pod tutymi wuměnjenjemi znjemóžnjeja. Jeli sće systemowy administrator, kiž je na tym zajimowany zhonić, kak dyrbja so směrnicy předewzaća konfigurować, čitajće prošu [https://support.mozilla.org/products/firefox-enterprise/policies-customization-enterprise/policies-overview-enterprise dokumentaciju]. ==Kak budźe so DoH na staršiske kontrole wuskutkować?== Wěmy, zo někotři internetni słužbni poskićowarjo (ISP) DNS wužiwaja, zo bychu słužbu staršiskeje kontrole poskićili, kotraž wobsah za dorosćenych blokuje. Měnjenje Mozilla je, zo DNS najlěpše wašnje postupowanja za staršiske kontrole njeje, ale nochcemy ani eksistowace słužby kazyć, tohodla přepruwujemy rjad „canary domains“, prjedy hač DoH zmóžnjamy. Jeli tute domeny podawaja, zo staršiske kontrole su zmóžnjene, znejmóžnjemy DoH. Za přidatne informacije hlejće [https://blog.mozilla.org/futurereleases/2019/09/06/whats-next-in-making-dns-over-https-the-default tutón blogowy přinošk Mozilla]. (jendźelsce) ==Njemóža syće prosće kontrolu za „canary domain“ wšón čas wuwabić a DoH znjemóžnić?== Haj, „canary domains“ su rozrisanje, kotrež najlěpšu wěstotu skići, zo by přećiwo syćowym nastupnikam wojowało a tomu zadźěwało, zo so eksistowace připrawy wobškodźeja. Dohladujemy jich wužiwanje, přepytujemy znjewužiwanske podawki a wobhladujemy sej naprawy, kotrež te podawki wobsahuja. ==Budźe DoH Content Delivery Networks (CDN) kazyć?== Wěmy, zo někotre CDN wobchadne wodźenje na zakładźe DNS wužiwaja, kotrež so přez DoH wobwliwuja. Ale naše [https://blog.mozilla.org/futurereleases/2019/04/02/dns-over-https-doh-update-recent-testing-results-and-next-steps měrjenja] (jendźelsce) pokazuja, zo začitanske časy stronow DoH su ze wšědnymi začitanskimi časami DNS přirunujomne. Za dodawansku dobu a po njej dohladujemy wukon Firefox, zo bychmy widźeli, hač škody su. ==Kak Firefox ze split-horizon DNS wobchadźa?== Jeli Firefox njemóže domenu přez DoH rozpušćić, budźe so k DNS wróćeć. To rěka, zo so někotre domeny, kotrež su jenož za wšědny DNS k dispoziciji (dokelž zjawne njejsu) na tute wašnje rozpušćeja. Jeli domenu maće, kotraž je zjawnje rozpušćomna, ale internje hinak rozpušća, měł wy předewzaćelske nastajenja wužiwać, zo byšće DoH znjemóžnił. ==Wobkrućeće DNSSEC?== DNSSEC zaručuje, zo so wotmołwy DNS njemanipuluja, mjeztym zo su w transiće, njezaklučuje wšak naprašowanja a wotmołwy DNS. Smy zaklučowanje DNS z pomocu DoH priorizowali, zo bychmy priwatnosć wužiwarjow škitali. Přemyslujemy wo přichodnej implementaciji DNSSEC. =Partnerstwa DNS přez HTTPS= ==Kotry resolwer Firefox wužiwa?== W kóždym kraju, w kotrymž DoH startujemy, mamy standardny resolwer (na př. Cloudfare w USA). Wužiwarjo móža alternatiwnje z lisćiny [https://wiki.mozilla.org/Security/DOH-resolver-policy#Conforming_Resolvers přidatnych poskićowarjow] w našim programje ''Trusted Recursive Resolver'' wubrać, kotryž sej přihłosowanje k žadanjam našich prawidłow nastupajo priwatnosć a wěstotu wužiwarjow wužaduje. W běhu časa nadźijamy so našemu programej ''Trusted Recursive Resolver'' dalšich poskićowarjow přidać. Nimo toho je naša wizija za DoH, zo so uniwerselnje přez wšě resolwery DNS přiměrja a podpěruje. ==Kak Mozilla swoje dowěry hódne resolwery wuběra?== Naše standardne resolwery móža striktnym [https://wiki.mozilla.org/Security/DOH-resolver-policy žadanjam prawidłow] wotpowědować, kotrež tuchwilu mamy. Tute žadanja so na zakonsce zawjazne dojednanja zepěraja a wozjewjeja so w prěnjorjadnych zdźělenkach priwatnosće, kotrež te prawidła dokumentuja a je za wužiwarjow transparentne činja. ==Dóstawa Mozilla płaćenja za słanje naprašowanja DNS na jeho standardne resolwery?== Ně, Mozilla za słanje naprašowanjow DNS na našich partnerow standardnych resolwerow pjenjeze njedóstawa. ==Spjenježuja Mozilla abo jeho standadne resolwery tute daty?== Ně, naše prawidła wuraznje zakazuja, tute daty spjenježić. Naš zaměr z tutej funkciju je, našim wužiwarjam wažny škit priwatnosće skićić a eksistowacym resolweram DNS poćežić, daty DNS wužiwarjow spjenježić. =Wjace wo implementaciji DNS přez HTTPS Firefox= ==Što je waš dodawanski plan?== Smy DoH po standardźe w lěće 2019 w USA, w 2021 w Kanadźe a měrc 2022 w Ruskej a Ukrainje zawjedli. Tuchwilu planujemy standardne zawjedźenja w dalšich krajach. ==Budźeće tutón standard w Europje zawjedować?== Jako dźěl našeje trajneje strategije, lěpšiny a wliw DoH swědomiće měrić, smy tutu funkciju po standardźe dotal jenož w Ruskej, Ukrainje kaž tež w USA a Kanadźe zawjedli. ==Čehodla Firefox DoH a nic DoT implementuje?== The IETF has standardized two DNS over secure transport protocols: [https://tools.ietf.org/rfcmarkup?doc=7858 DNS-over-TLS] (DoT) and [https://tools.ietf.org/rfcmarkup?doc=8484 DNS-over-HTTPS] (DoH). These two protocols have broadly similar security and privacy properties. We chose DoH because we believe it is a better fit for our existing mature browser networking stack (which is focused on HTTP) and provides better support for future protocol features such as HTTP/DNS multiplexing and QUIC. ==Da so DoT za syćowych wobhospodarjerjow lóšo namakać a blokować?== Yes, we don’t think that this is an advantage. Firefox provides mechanisms for network operators to signal that they have legitimate reasons for DoH to be disabled. We do not believe that blocking the connection to the resolver is an appropriate response. ==Přeradźuje Server Name Indication (SNI) domenowe mjena najebać to?== Yes, although not all domain names get leaked through SNI, we are concerned about SNI leaks and have started working on [https://datatracker.ietf.org/doc/draft-ietf-tls-esni Encrypted SNI]. ==Što su heuristiki DoH?== These are a set of checks that Firefox performs before enabling DoH by default for users in the rollout regions, to see if enabling DoH will have a negative impact. (These checks are ignored if you explicitly enabled DoH.) For example, DoH will remain disabled if enterprise policies or parental controls are enabled. To learn more, see [https://wiki.mozilla.org/Security/DNS_Over_HTTPS/Heuristics Security/DNS Over HTTPS/Heuristics] and [[Configuring Networks to Disable DNS over HTTPS]].

Činiće runje prěnje kroki z DNS přez HTTPS (DoH)? Žadyn strach! Smy lisćinu husto stajenych prašenjow naćisnyli, kotrež snano za wužitne maće, mjeztym zo so ze wšěm na najnowši staw přinjeseće, štož DoH skići. Za přidatne informacije hlejće Firefox DNS přez HTTPS.

Kak DNS přez HTTPS za wužiwarjow Firefox na zakładźe narodnych šemow funguje, hdźež smy DoH po standardźe dodali

Što su prawidła priwatnosće za DNS přez HTTPS?

Implementowanje DoH je dźěl našeho dźěła za škit wužiwarjow před stajnym prěsćěhowanjom wosobinskich datow online. Zo byšće to činił, žada sej Mozilla ze zakonsce zawjazne dojednanje wote wšěch poskićowarjow DNS, kotřiž dadźa so w Firefox wubrać, zo naše resolwerowe prawidła spjelnjeja. Tute žadanja striktne mjezy na typ datow stajeja, kotrež so maja wobchować, što poskićowar móže z datami činić a kak dołho smě je wobchować. Tute striktne prawidła maja wužiwarjow před tym škitać, zo so jich daty hromadźeja a spjenježuja.

Warnuja wužiwarjow, hdyž to je zmóžnjene a jim so wotpokazanje poskića?

Haj, zdźělenka so w Firefox zjewi a njezhubi so, doniž wužiwar njerozsudźa, hač chce škit priwatnosće DNS zmóžnić abo znjemóžnić.

Móža wužiwarjo DoH znjemóžnić?

Haj, móža DoH znjemóžnić, swójskeho poskićowarja DoH wubrać a konfiguraciske změny we woknje Priwatnosć a wěstota nastajenjow Firefox přewjesć, kaž so to w nastawku Škitne schodźenki DNS přez HTTPS w Firefox konfigurować wujasnja. Yes, they can disable DoH from Firefox Network settings. They can disable DoH and/or select their own DoH provider, as explained here.

Móža wužiwarjo dočasa wotpokazać?

Haj, móžeće network.trr.mode w konfiguraciskim editorje manuelnje na 5 stajić. Přidatne informacije wo modusach móžeće tu namakać (jendźelsce).

Kak budźe so DoH na předewzaća ze swójskimi rozrisanjemi DNS wuskutkować?

Smy za předewzaća zjednorili, tutu funkciju znjemóžnić. Nimo toho Firefox wotkrywa, hač směrnicy předewzaćow su na graće postajili a DoH pod tutymi wuměnjenjemi znjemóžnjeja. Jeli sće systemowy administrator, kiž je na tym zajimowany zhonić, kak dyrbja so směrnicy předewzaća konfigurować, čitajće prošu dokumentaciju.

Kak budźe so DoH na staršiske kontrole wuskutkować?

Wěmy, zo někotři internetni słužbni poskićowarjo (ISP) DNS wužiwaja, zo bychu słužbu staršiskeje kontrole poskićili, kotraž wobsah za dorosćenych blokuje. Měnjenje Mozilla je, zo DNS najlěpše wašnje postupowanja za staršiske kontrole njeje, ale nochcemy ani eksistowace słužby kazyć, tohodla přepruwujemy rjad „canary domains“, prjedy hač DoH zmóžnjamy. Jeli tute domeny podawaja, zo staršiske kontrole su zmóžnjene, znejmóžnjemy DoH. Za přidatne informacije hlejće tutón blogowy přinošk Mozilla. (jendźelsce)

Njemóža syće prosće kontrolu za „canary domain“ wšón čas wuwabić a DoH znjemóžnić?

Haj, „canary domains“ su rozrisanje, kotrež najlěpšu wěstotu skići, zo by přećiwo syćowym nastupnikam wojowało a tomu zadźěwało, zo so eksistowace připrawy wobškodźeja. Dohladujemy jich wužiwanje, přepytujemy znjewužiwanske podawki a wobhladujemy sej naprawy, kotrež te podawki wobsahuja.

Budźe DoH Content Delivery Networks (CDN) kazyć?

Wěmy, zo někotre CDN wobchadne wodźenje na zakładźe DNS wužiwaja, kotrež so přez DoH wobwliwuja. Ale naše měrjenja (jendźelsce) pokazuja, zo začitanske časy stronow DoH su ze wšědnymi začitanskimi časami DNS přirunujomne. Za dodawansku dobu a po njej dohladujemy wukon Firefox, zo bychmy widźeli, hač škody su.

Kak Firefox ze split-horizon DNS wobchadźa?

Jeli Firefox njemóže domenu přez DoH rozpušćić, budźe so k DNS wróćeć. To rěka, zo so někotre domeny, kotrež su jenož za wšědny DNS k dispoziciji (dokelž zjawne njejsu) na tute wašnje rozpušćeja. Jeli domenu maće, kotraž je zjawnje rozpušćomna, ale internje hinak rozpušća, měł wy předewzaćelske nastajenja wužiwać, zo byšće DoH znjemóžnił.

Wobkrućeće DNSSEC?

DNSSEC zaručuje, zo so wotmołwy DNS njemanipuluja, mjeztym zo su w transiće, njezaklučuje wšak naprašowanja a wotmołwy DNS. Smy zaklučowanje DNS z pomocu DoH priorizowali, zo bychmy priwatnosć wužiwarjow škitali. Přemyslujemy wo přichodnej implementaciji DNSSEC.

Partnerstwa DNS přez HTTPS

Kotry resolwer Firefox wužiwa?

W kóždym kraju, w kotrymž DoH startujemy, mamy standardny resolwer (na př. Cloudfare w USA). Wužiwarjo móža alternatiwnje z lisćiny přidatnych poskićowarjow w našim programje Trusted Recursive Resolver wubrać, kotryž sej přihłosowanje k žadanjam našich prawidłow nastupajo priwatnosć a wěstotu wužiwarjow wužaduje. W běhu časa nadźijamy so našemu programej Trusted Recursive Resolver dalšich poskićowarjow přidać. Nimo toho je naša wizija za DoH, zo so uniwerselnje přez wšě resolwery DNS přiměrja a podpěruje.

Kak Mozilla swoje dowěry hódne resolwery wuběra?

Naše standardne resolwery móža striktnym žadanjam prawidłow wotpowědować, kotrež tuchwilu mamy. Tute žadanja so na zakonsce zawjazne dojednanja zepěraja a wozjewjeja so w prěnjorjadnych zdźělenkach priwatnosće, kotrež te prawidła dokumentuja a je za wužiwarjow transparentne činja.

Dóstawa Mozilla płaćenja za słanje naprašowanja DNS na jeho standardne resolwery?

Ně, Mozilla za słanje naprašowanjow DNS na našich partnerow standardnych resolwerow pjenjeze njedóstawa.

Spjenježuja Mozilla abo jeho standadne resolwery tute daty?

Ně, naše prawidła wuraznje zakazuja, tute daty spjenježić. Naš zaměr z tutej funkciju je, našim wužiwarjam wažny škit priwatnosće skićić a eksistowacym resolweram DNS poćežić, daty DNS wužiwarjow spjenježić.

Wjace wo implementaciji DNS přez HTTPS Firefox

Što je waš dodawanski plan?

Smy DoH po standardźe w lěće 2019 w USA, w 2021 w Kanadźe a měrc 2022 w Ruskej a Ukrainje zawjedli. Tuchwilu planujemy standardne zawjedźenja w dalšich krajach.

Budźeće tutón standard w Europje zawjedować?

Jako dźěl našeje trajneje strategije, lěpšiny a wliw DoH swědomiće měrić, smy tutu funkciju po standardźe dotal jenož w Ruskej, Ukrainje kaž tež w USA a Kanadźe zawjedli.

Čehodla Firefox DoH a nic DoT implementuje?

The IETF has standardized two DNS over secure transport protocols: DNS-over-TLS (DoT) and DNS-over-HTTPS (DoH). These two protocols have broadly similar security and privacy properties. We chose DoH because we believe it is a better fit for our existing mature browser networking stack (which is focused on HTTP) and provides better support for future protocol features such as HTTP/DNS multiplexing and QUIC.

Da so DoT za syćowych wobhospodarjerjow lóšo namakać a blokować?

Yes, we don’t think that this is an advantage. Firefox provides mechanisms for network operators to signal that they have legitimate reasons for DoH to be disabled. We do not believe that blocking the connection to the resolver is an appropriate response.

Přeradźuje Server Name Indication (SNI) domenowe mjena najebać to?

Yes, although not all domain names get leaked through SNI, we are concerned about SNI leaks and have started working on Encrypted SNI.

Što su heuristiki DoH?

These are a set of checks that Firefox performs before enabling DoH by default for users in the rollout regions, to see if enabling DoH will have a negative impact. (These checks are ignored if you explicitly enabled DoH.) For example, DoH will remain disabled if enterprise policies or parental controls are enabled. To learn more, see Security/DNS Over HTTPS/Heuristics and Syće konfigurować, zo by so DNS přez HTTPS znjemóžnił.