Compare Revisions
基于 HTTPS 的 DNS(DoH)常见问题解答
Revision 262277:
Revision 262277 by wxie2016 on
Revision 270511:
Revision 270511 by wxie2016 on
Keywords:
Firefox; DNS-over-HTTPS; DNS; HTTPS; DoH
Firefox; DNS-over-HTTPS; DNS; HTTPS; DoH
Search results summary:
我们总结了一些 DNS-over-HTTPS (DoH) 常见问题和解答。希望此文让你能够快速了解 DoH 提供的能力。
我们总结了一些 DNS-over-HTTPS (DoH) 常见问题和解答。希望此文让你能够快速了解 DoH 提供的能力。
Content:
刚开始使用 DNS over HTTPS (DoH)?不必惊慌!我们总结了一些 DNS-over-HTTPS (DoH) 常见问题和解答。希望此文让你能够快速了解 DoH 提供的能力。更多信息,请参看 [[Firefox DNS-over-HTTPS]]。
__TOC__
=默认带有 DOH 地区的 Firefox 用户的 DNS over HTTPS 如何工作=
==DNS over HTTPS 对默认启用地区的 Firefox 用户如何工作?==
实施 DoH 是我们保护用户数据不受在线跟踪的工作之一。为了达成该目标,Mozilla 通过法律合同要求所有经由 Firefox 的 DNS 提供商遵循我们的 [https://wiki.mozilla.org/Security/DOH-resolver-policy 解析政策]。这些政策严格规定了可保留数据的种类、提供商可以对数据做什么以及数据可以保留多久。这一严格政策意在保护用户不被提供商收集和货币化。
==用户是否获得提示?是否可以选择不用?==
是的。用户必须在通知页面决定是否启用 DNS 隐私保护,否则通知不会消失。
[[Image:OptIn_Infobar]]
==用户是否可以禁用 DoH?==
{for fx114}
是的,你可以禁用 DoH。在 Firefox 设置部分的隐私与安全面板,你可以选择自己的 DoH 提供商,也可以修改其他相关设置。详细信息,请参看 [[Configure DNS over HTTPS protection levels in Firefox]] 一文。
{/for}
{for not fx114}
是的,用户可以在 [[Connection settings in Firefox|Firefox 网络设置]] 中禁用 DoH。他们可以禁用 DoH 和/或按照 [[Firefox DNS-over-HTTPS#w_manually-enabling-and-disabling-dns-over-https|此处]] 的解释选择自己的 DoH 提供商。
{/for}
==用户是否可以提前选择不用?==
是的,他们可以在 [[Configuration Editor for Firefox|配置编辑器]] 页面手动设置 {pref network.trr.mode} 为 {pref 5}。请在 [https://wiki.mozilla.org/Trusted_Recursive_Resolver#network.trr.mode/ 此处] 了解更多模式。
==DoH 对使用定制化 DNS 方案的企业有什么影响?==
我们特意让企业用户更容易禁用此功能。另外,Firefox 会检测相关设备是否设置有启用政策,如果有,就会禁用 DoH。如果你是需要了解如何配置企业政策的系统管理员,那么请阅读 [https://support.mozilla.org/en-US/products/firefox-enterprise/policies-customization-enterprise/policies-overview-enterprise 这里] 的文档。
==DoH 如何影响家长控制?==
我们知道有些互联网服务提供商(ISP)使用 DNS 提供家长控制服务来拦截成人内容。Mozilla 认为 DNS 并不是家长控制的最好方式,但是我们也不想破坏已有的服务,所以我们在启用 DoH 之前会做域名检查。如果域名检查表示家长控制已启用,那么我们就禁用 DoH。更多信息,请参看 [https://blog.mozilla.org/futurereleases/2019/09/06/whats-next-in-making-dns-over-https-the-default 这篇博文]。
==难道网络不能一直开启域名检查并禁用 DoH?==
是的,域名检查是对抗网络攻击和阻止已有部署被破坏的最安全方案。我们会监控其使用、调查滥用事件并对此类事件采取应对措施。
==DoH 会破坏内容分发网络(CDNs)吗?==
我们了解有些 CDN 使用基于 DNS 的流量管理,这可能会受到 DoH 的影响。不过,我们的 [https://blog.mozilla.org/futurereleases/2019/04/02/dns-over-https-doh-update-recent-testing-results-and-next-steps 测量] 显示 DoH 页面的加载时间和普通 DNS 页面的加载时间相比并不算差。在发布期间和发布之后,我们会持续监测 Firefox 的性能,看看是否有问题。
==Firefox 如何处理水平分割的 DNS?==
如果 Firefox 不能通过 DoH 解析域名,那么它会回归到使用 DNS。这就是说,只能通过普通 DNS 获取的域名(因为不公开)就会按照 DNS 来解析。如果你的域名是公开可解析,但是内部使用其他方法解析,那么你应该使用企业政策设置禁用 DoH。
==你们是否验证 DNSSEC?==
DNSSEC 保证 DNS 的反馈在传输时不被改变,但是它并不加密 DNS 请求和反馈。我们使用 DoH 提高了 DNS 加密的优先级以保护用户隐私。我们考虑在将来实施 DNSSEC。
=DNS over HTTPS 伙伴=
==Firefox 使用什么解析器?==
在 DoH 部署的地区,我们都有默认的解析器(在美国,我们选择 Cloudflare 作为默认解析器)。用户可以在我们的可信解析器 [https://wiki.mozilla.org/Security/DOH-resolver-policy#Conforming_Resolvers 其他提供商] 伙伴Trusted Recursive Resolver program)列表中选择其他的解析器,这个计划需要提供商就用户隐私和安全遵循我们的隐私和安全要求。我们预计会有更多的提供商加入该计划。另外,我们的远景是 DoH 被广泛接纳并被所有 DNS 解析器支持。
==Mozilla 如何选择可信的解析器?==
默认解析器能够达到我们现有的严格 [https://wiki.mozilla.org/Security/DOH-resolver-policy 政策要求]。这些要求写在我们的法律合同中,并且公开在一个同类最佳的隐私声明中,该声明记录了这些政策并对用户公开透明。
==Mozilla 是否因为将 DNS 请求转到默认解析器而获得收益?==
将 DNS 请求路由到默认解析器不牵扯到金钱交易。
==Mozilla 或默认解析器是否将这些数据货币化?==
不,我们的政策明确禁止将数据货币化。对我们来说,该功能的目的是为用户提供重要的隐私保护,并使现有的 DNS 解析器更难以货币化用户的 DNS 数据。
=更多关于 Firefox 的 DNS over HTTPS 实施计划=
==你们的实施排期是怎么样子的?==
我们在美国于 2019 年、在加拿大于 2021 年、在俄罗斯和乌克兰于 2022 年 3 月部署了 DoH。我们目前正计划在更多地区展开部署。
==欧洲是否默认采用?==
作为仔细监控 DoH 的影响和好处的持续战略组成部分,我们目前已经在美国、加拿大、俄罗斯和乌克兰默认发布。
==为什么 Firefox 使用 DoH 而不是 DoT?==
IETF 有两个 DNS 安全传输的协议标准:[https://tools.ietf.org/rfcmarkup?doc=7858 DNS-over-TLS] (DoT) 和 [https://tools.ietf.org/rfcmarkup?doc=8484 DNS-over-HTTPS] (DoH)。这两个标准的安全和隐私特性大致类似。我们选择 DoH 的理由是它和我们现有的成熟浏览器网络栈(针对 HTTP)更容易配合,它为 HTTP/DNS 多路复用和 QUIC 等未来的协议功能提供了更好的支持。
==DoT 对网络操作方是否更容易检测和拦截?==
是的。我们不认为这是一个优势。Firefox 为网络操作方提供了判断是否禁用 DoH 的机制。我们认为阻止解析器的连接不是一个合适的反应。
==难道服务器名称标识(SNI)不是总会泄漏域名吗?==
是的。虽然不是所有的域名都通过 SNI 泄漏出去,但是我们还是很担心 SNI 的泄漏问题。我们已经着手 [https://datatracker.ietf.org/doc/draft-ietf-tls-esni/ SNI 加密] 的工作。
刚开始使用 DNS over HTTPS (DoH)?不必惊慌!我们总结了一些 DNS-over-HTTPS (DoH) 常见问题和解答。希望此文让你能够快速了解 DoH 提供的能力。更多信息,请参看 [[Firefox DNS-over-HTTPS]]。
__TOC__
=默认带有 DOH 地区的 Firefox 用户的 DNS over HTTPS 如何工作=
==DNS over HTTPS 对默认启用地区的 Firefox 用户如何工作?==
实施 DoH 是我们保护用户数据不受在线跟踪的工作之一。为了达成该目标,Mozilla 通过法律合同要求所有经由 Firefox 的 DNS 提供商遵循我们的 [https://wiki.mozilla.org/Security/DOH-resolver-policy 解析政策]。这些政策严格规定了可保留数据的种类、提供商可以对数据做什么以及数据可以保留多久。这一严格政策意在保护用户不被提供商收集和货币化。
==用户是否获得提示?是否可以选择不用?==
是的。用户必须在通知页面决定是否启用 DNS 隐私保护,否则通知不会消失。
[[Image:OptIn_Infobar]]
==用户是否可以禁用 DoH?==
{for fx114}
是的,你可以禁用 DoH。在 Firefox 设置部分的 {menu 隐私与安全} 面板,你可以选择自己的 DoH 提供商,也可以修改其他相关设置。详细信息,请参看 [[Configure DNS over HTTPS protection levels in Firefox]] 一文。
{/for}
{for not fx114}
是的,用户可以在 [[Connection settings in Firefox|Firefox 网络设置]] 中禁用 DoH。他们可以禁用 DoH 和/或按照 [[Firefox DNS-over-HTTPS#w_manually-enabling-and-disabling-dns-over-https|此处]] 的解释选择自己的 DoH 提供商。
{/for}
==用户是否可以提前选择不用?==
是的,他们可以在 [[Configuration Editor for Firefox|配置编辑器]] 页面手动设置 {pref network.trr.mode} 为 {pref 5}。请在 [https://wiki.mozilla.org/Trusted_Recursive_Resolver#network.trr.mode/ 此处] 了解更多模式。
==DoH 对使用定制化 DNS 方案的企业有什么影响?==
我们特意让企业用户更容易禁用此功能。另外,Firefox 会检测相关设备是否设置有启用政策,如果有,就会禁用 DoH。如果你是需要了解如何配置企业政策的系统管理员,那么请阅读 [https://support.mozilla.org/en-US/products/firefox-enterprise/policies-customization-enterprise/policies-overview-enterprise 这里] 的文档。
==DoH 如何影响家长控制?==
我们知道有些互联网服务提供商(ISP)使用 DNS 提供家长控制服务来拦截成人内容。Mozilla 认为 DNS 并不是家长控制的最好方式,但是我们也不想破坏已有的服务,所以我们在启用 DoH 之前会做域名检查。如果域名检查表示家长控制已启用,那么我们就禁用 DoH。更多信息,请参看 [https://blog.mozilla.org/futurereleases/2019/09/06/whats-next-in-making-dns-over-https-the-default 这篇博文]。
==难道网络不能一直开启域名检查并禁用 DoH?==
是的,域名检查是对抗网络攻击和阻止已有部署被破坏的最安全方案。我们会监控其使用、调查滥用事件并对此类事件采取应对措施。
==DoH 会破坏内容分发网络(CDNs)吗?==
我们了解有些 CDN 使用基于 DNS 的流量管理,这可能会受到 DoH 的影响。不过,我们的 [https://blog.mozilla.org/futurereleases/2019/04/02/dns-over-https-doh-update-recent-testing-results-and-next-steps 测量] 显示 DoH 页面的加载时间和普通 DNS 页面的加载时间相比并不算差。在发布期间和发布之后,我们会持续监测 Firefox 的性能,看看是否有问题。
==Firefox 如何处理水平分割的 DNS?==
如果 Firefox 不能通过 DoH 解析域名,那么它会回归到使用 DNS。这就是说,只能通过普通 DNS 获取的域名(因为不公开)就会按照 DNS 来解析。如果你的域名是公开可解析,但是内部使用其他方法解析,那么你应该使用企业政策设置禁用 DoH。
==你们是否验证 DNSSEC?==
DNSSEC 保证 DNS 的反馈在传输时不被改变,但是它并不加密 DNS 请求和反馈。我们使用 DoH 提高了 DNS 加密的优先级以保护用户隐私。我们考虑在将来实施 DNSSEC。
=DNS over HTTPS 伙伴=
==Firefox 使用什么解析器?==
在 DoH 部署的地区,我们都有默认的解析器(在美国,我们选择 Cloudflare 作为默认解析器)。用户可以在我们的 ''可信解析器'' [https://wiki.mozilla.org/Security/DOH-resolver-policy#Conforming_Resolvers 其他提供商] 伙伴 ''Trusted Recursive Resolver'' program)列表中选择其他的解析器,这个计划需要提供商就用户隐私和安全遵循我们的隐私和安全要求。我们预计会有更多的提供商加入该计划。另外,我们的远景是 DoH 被广泛接纳并被所有 DNS 解析器支持。
==Mozilla 如何选择可信的解析器?==
默认解析器能够达到我们现有的严格 [https://wiki.mozilla.org/Security/DOH-resolver-policy 政策要求]。这些要求写在我们的法律合同中,并且公开在一个同类最佳的隐私声明中,该声明记录了这些政策并对用户公开透明。
==Mozilla 是否因为将 DNS 请求转到默认解析器而获得收益?==
将 DNS 请求路由到默认解析器不牵扯到金钱交易。
==Mozilla 或默认解析器是否将这些数据货币化?==
不,我们的政策明确禁止将数据货币化。对我们来说,该功能的目的是为用户提供重要的隐私保护,并使现有的 DNS 解析器更难以货币化用户的 DNS 数据。
=更多关于 Firefox 的 DNS over HTTPS 实施计划=
==你们的实施排期是怎么样子的?==
我们在美国于 2019 年、在加拿大于 2021 年、在俄罗斯和乌克兰于 2022 年 3 月部署了 DoH。我们目前正计划在更多地区展开部署。
==欧洲是否默认采用?==
作为仔细监控 DoH 的影响和好处的持续战略组成部分,我们目前已经在美国、加拿大、俄罗斯和乌克兰默认发布。
==为什么 Firefox 使用 DoH 而不是 DoT?==
IETF 有两个 DNS 安全传输的协议标准:[https://tools.ietf.org/rfcmarkup?doc=7858 DNS-over-TLS] (DoT) 和 [https://tools.ietf.org/rfcmarkup?doc=8484 DNS-over-HTTPS] (DoH)。这两个标准的安全和隐私特性大致类似。我们选择 DoH 的理由是它和我们现有的成熟浏览器网络栈(针对 HTTP)更容易配合,它为 HTTP/DNS 多路复用和 QUIC 等未来的协议功能提供了更好的支持。
==DoT 对网络操作方是否更容易检测和拦截?==
是的。我们不认为这是一个优势。Firefox 为网络操作方提供了判断是否禁用 DoH 的机制。我们认为阻止解析器的连接不是一个合适的反应。
==难道服务器名称标识(SNI)不是总会泄漏域名吗?==
是的。虽然不是所有的域名都通过 SNI 泄漏出去,但是我们还是很担心 SNI 的泄漏问题。我们已经着手 [https://datatracker.ietf.org/doc/draft-ietf-tls-esni/ SNI 加密] 的工作。
==什么是启发式 DoH?==
它是启用 DOH 时 Firefox 进行的一系列检查,目的是查看启用 DoH 是否有负面影响。(如果你主动启用 DOH,那么这些检查会被跳过。)例如,如果企业政策活家长控制已启用,那么 DoH 将仍保持禁用状态。更多信息,请参看 [https://wiki.mozilla.org/Security/DNS_Over_HTTPS/Heuristics Security/DNS Over HTTPS/Heuristics] 和 [[Configuring Networks to Disable DNS over HTTPS]]。