Dopiero zaczynasz interesować się DNS przez HTTPS (DoH)? Nie ma się czym martwić! Przedstawiliśmy tutaj listę najczęściej zadawanych pytań i odpowiedzi, aby dowiedzieć się, co DoH ma do zaoferowania. Dodatkowe informacje znajdziesz na stronie [[Firefox DNS-over-HTTPS]]. __TOC__ = Jak działa DNS przez HTTPS dla użytkowników Firefoksa przebywających w USA = == Jaka jest polityka prywatności dla DNS przez HTTPS? == Wdrożenie DoH jest częścią naszej pracy mającej na celu ochronę użytkowników przed powszechnym śledzeniem danych osobowych w internecie. W tym celu Mozilla wymaga od wszystkich dostawców DNS, którzy mogą być wybrani w Firefoksie, aby przestrzegali naszej [https://wiki.mozilla.org/Security/DOH-resolver-policy polityki użycia DoH] poprzez prawnie wiążącą umowę. Wymogi te nakładają ścisłe ograniczenia na rodzaj danych, które mogą być zatrzymywane, co dostawca może zrobić z tymi danymi i jak długo może je przechowywać. Ta ścisła polityka ma na celu ochronę użytkowników przed możliwością gromadzenia i zarabiania na danych przez dostawców. == Czy użytkownicy zostaną ostrzeżeni, gdy DoH zostanie włączone i zaoferuje się im rezygnację? == Tak, zostanie wyświetlone wyskakujące okienko i nie zniknie, dopóki użytkownik nie podejmie decyzji o włączeniu lub wyłączeniu ochrony prywatności DNS. [[Image:DoH Opt Out]] == Czy użytkownicy będą mogli wyłączyć DoH? == Tak, można wyłączyć DoH poprzez '''Opcje/Preferencje > Ogólne > Sieć'''. Użytkownicy mogą też wybrać własnego dostawcę DoH, jak wyjaśniono [[Firefox DNS-over-HTTPS#w_zmiana-dostawcy-serwera-doh|tutaj]]. == Czy użytkownicy mogą zrezygnować z usługi z wyprzedzeniem? == Tak, można ustawić {pref network.trr.mode} na {pref 5} ręcznie w [[Configuration Editor for Firefox|about<nowiki>:</nowiki>config]]. Dodatkowe informacje na temat trybów można znaleźć [https://wiki.mozilla.org/Trusted_Recursive_Resolver#network.trr.mode tutaj]. == Jak DoH wpłynie na przedsiębiorstwa z niestandardowymi rozwiązaniami DNS? == Ułatwiliśmy przedsiębiorstwom wyłączenie tej funkcji. Dodatkowo, Firefox wykryje, czy w urządzeniu zostały ustawione reguły korporacyjne i wyłączy DoH w tych okolicznościach. Jeśli jesteś administratorem systemu i chcesz dowiedzieć się, jak skonfigurować reguły korporacyjne, zapoznaj się z [https://support.mozilla.org/pl/products/firefox-enterprise/policies-customization-enterprise/policies-overview-enterprise dokumentacją]. == Jak DoH wpłynie na kontrolę rodzicielską? == Wiemy, że niektórzy dostawcy usług internetowych używają DNS, aby zaoferować usługę kontroli rodzicielskiej, która blokuje treści dla dorosłych. Mozilla jest zdania, że DNS nie jest najlepszym podejściem do kontroli rodzicielskiej, ale nie chcemy też przerywać istniejących usług, więc przed włączeniem DoH sprawdzamy szereg tzw. domen kanaryjskich. Jeśli te domeny wskazują, że kontrole rodzicielskie są włączone, wtedy wyłączamy DoH. Dodatkowe informacje można znaleźć na stronie [https://blog.mozilla.org/futurereleases/2019/09/06/whats-next-in-making-dns-over-https-the-default/ https://blog.mozilla.org/futurereleases/2019/09/06/whats-next-in-making-dns-over-https-the-default/]. == Czy sieci nie mogą po prostu cały czas uruchamiać kontroli domeny kanaryjskiej i wyłączać DoH? == Tak, domeny kanaryjskie są rozwiązaniem, które oferuje najlepsze zabezpieczenie w walce z napastnikami sieci i zapobiega przerwaniu istniejących usług. Będziemy monitorować ich użycie, badać wszelkie incydenty nadużyć i analizować środki mające na celu ich powstrzymanie. == Czy DoH może zablokować sieci dostarczania treści (CDN-y)? == Jesteśmy świadomi, że niektóre CDN-y używają sterowania ruchem w oparciu o DNS, na które DoH może mieć wpływ. Jednak nasze pomiary [https://blog.mozilla.org/futurereleases/2019/04/02/dns-over-https-doh-update-recent-testing-results-and-next-steps/] pokazują, że czasy obciążenia stron DoH są konkurencyjne w porównaniu do zwykłych czasów obciążenia stron DNS. W trakcie i po zakończeniu okresu wdrażania będziemy monitorować wydajność programu Firefox, aby sprawdzić, czy nie ma żadnych usterek. == Jak Firefox radzi sobie z dzielonym DNS? == Jeśli Firefox nie rozwiąże domeny przez DoH, wyśle zapytanie z powrotem do DNS. Oznacza to, że wszystkie domeny, które są dostępne tylko w zwykłym DNS (ponieważ nie są publiczne), zostaną rozwiązane w ten sposób. Jeśli masz domenę, która jest publicznie rozwiązywalna, ale rozwiązuje się inaczej wewnętrznie, to powinieneś użyć ustawień korporacyjnych, aby wyłączyć DoH. == Czy sprawdzacie poprawność DNSSEC? == DNSSEC zapewnia, że odpowiedzi DNS nie zostały zmodyfikowane podczas transferu, ale nie szyfruje żądań i odpowiedzi DNS. Aby chronić prywatność użytkowników, nadaliśmy priorytet szyfrowaniu DNS przy użyciu DoH. Rozważamy wdrożenie DNSSEC w przyszłości. Cloudflare dokonuje walidacji DNSSEC na zapytaniach, które Firefox wysyła do ich resolvera DoH. Nie zapewnia to jednak całkowitej integralności danych DNS. Obecnie rozwijamy DoH w "trybie awaryjnym", co oznacza, że każdy błąd zwrócony przez resolver Cloudflare jak błąd walidacji DNSSEC spowoduje, że Firefox ponownie wykona zapytanie za pomocą systemowego resolvera operacyjnego zamiast zwrócić błąd użytkownikowi. = Partnerstwo DNS poprzez HTTPS = == Jakiego resolwera będzie używał Firefox? == Nasze pierwsze wdrożenie, odbywające tylko w USA, ustawia Cloudflare jako domyślnego dostawcę DoH. Użytkownicy mogą naprzemiennie wybierać z listy [https://wiki.mozilla.org/Security/DOH-resolver-policy#Conforming_Resolvers dodatkowych dostawców] w naszym programie Trusted Recursive Resolver, który wymaga zgodności z naszymi [https://wiki.mozilla.org/Security/DOH-resolver-policy wymogami polityki] dotyczącymi prywatności i bezpieczeństwa użytkownika. Z czasem spodziewamy się dodać kolejnych dostawców do naszego programu Trusted Recursive Resolver. Ponadto, nasza wizja polega na tym, aby DoH było powszechnie przyjęte i wspierane przez wszystkie serwery DNS. == Jak Mozilla wybrała Cloudflare jako zaufanego dostawcę? == Cloudflare był w stanie spełnić nasze rygorystyczne [https://wiki.mozilla.org/Security/DOH-resolver-policy wymagania], które obecnie posiadamy. Wymagania te są poparte naszą prawnie wiążącą umową z Cloudflare i zostały upublicznione w najlepszej w swojej klasie [https://developers.cloudflare.com/1.1.1.1/privacy/firefox/ informacji o prywatności], która dokumentuje te zasady i zapewnia przejrzystość dla użytkowników. == Czy Mozilla otrzymuje zapłatę za przesyłanie żądań DNS do Cloudflare? == Żadne pieniądze nie są wymieniane za przesyłanie żądań DNS do Cloudflare. == Czy Mozilla lub Cloudflare zarabia na tych danych? == Nie, nasza polityka wyraźnie zakazuje monetyzacji tych danych. Naszym celem z tą funkcją jest zapewnienie ważnej ochrony prywatności dla naszych użytkowników i utrudnienie istniejącym resolwerom DNS monetyzacji danych DNS użytkowników. = Więcej o implementacji DNS-przez-HTTPS w Firefoksie = == Jak wygląda wasz kalendarz wdrożenia? == Rozpoczniemy stopniowe wdrożenie w październiku 2019 roku tylko w USA. Oznacza to, że funkcja zostanie włączona niewielkiej liczbie użytkowników, i stopniowo będziemy powiększać tę liczbę, jednocześnie obserwując, czy pojawiają się jakieś problemy. Szczególowe informacje na ten temat znajdziesz [https://bugzilla.mozilla.org/show_bug.cgi?id=1573840 tutaj]. == Czy wprowadzicie to rozwiązanie jako domyślnie w Europie? == W ramach naszej ciągłej strategii dokładnego pomiaru korzyści i wpływu DoH, obecnie koncentrujemy się na wydaniu tej funkcji tylko w USA. == Czemu Firefox implementuje DoH, a nie DoT? == IETF ustandaryzował dwie metody bezpiecznych protokołów DNS: [https://tools.ietf.org/rfcmarkup?doc=7858 DNS-over-TLS] (DoT) i [https://tools.ietf.org/rfcmarkup?doc=8484 DNS-over-HTTTPS] (DoH). Te dwa protokoły mają zasadniczo podobne właściwości w zakresie bezpieczeństwa i prywatności. Wybraliśmy DoH, ponieważ uważamy, że lepiej pasuje do naszego istniejącego, dojrzałego stosu sieciowego przeglądarki (który skupia się na HTTP) i zapewnia lepsze wsparcie dla przyszłych funkcji protokołu, takich jak multipleksacja HTTP/DNS i QUIC. == Czy DoT jest łatwiejszy do wykrycia i zablokowania dla operatorów sieciowych? == Tak, nie uważamy tego za zaletę. Firefox zapewnia operatorom sieciowym mechanizmy sygnalizowania, że mają uzasadnione powody, aby wyłączyć DoH. Nie sądzimy, aby blokowanie połączenia z resolwerem było odpowiednią odpowiedzią. == Czy Server Name Indication (SNI) i tak nie zdradza nazw domeny? == Tak, chociaż nie wszystkie nazwy domen przeciekają przez SNI, mamy świadomość, że SNI przecieka i rozpoczęliśmy pracę nad [https://datatracker.ietf.org/doc/draft-ietf-tls-esni/ Encrypted SNI].

Dopiero zaczynasz interesować się DNS przez HTTPS (DoH)? Nie ma się czym martwić! Przedstawiliśmy tutaj listę najczęściej zadawanych pytań i odpowiedzi, aby dowiedzieć się, co DoH ma do zaoferowania. Dodatkowe informacje znajdziesz na stronie DNS poprzez HTTPS w przeglądarce Firefox.

Jak działa DNS przez HTTPS dla użytkowników Firefoksa przebywających w USA

Jaka jest polityka prywatności dla DNS przez HTTPS?

Wdrożenie DoH jest częścią naszej pracy mającej na celu ochronę użytkowników przed powszechnym śledzeniem danych osobowych w internecie. W tym celu Mozilla wymaga od wszystkich dostawców DNS, którzy mogą być wybrani w Firefoksie, aby przestrzegali naszej polityki użycia DoH poprzez prawnie wiążącą umowę. Wymogi te nakładają ścisłe ograniczenia na rodzaj danych, które mogą być zatrzymywane, co dostawca może zrobić z tymi danymi i jak długo może je przechowywać. Ta ścisła polityka ma na celu ochronę użytkowników przed możliwością gromadzenia i zarabiania na danych przez dostawców.

Czy użytkownicy zostaną ostrzeżeni, gdy DoH zostanie włączone i zaoferuje się im rezygnację?

Tak, zostanie wyświetlone wyskakujące okienko i nie zniknie, dopóki użytkownik nie podejmie decyzji o włączeniu lub wyłączeniu ochrony prywatności DNS.

Czy użytkownicy będą mogli wyłączyć DoH?

Tak, można wyłączyć DoH poprzez Opcje/Preferencje > Ogólne > Sieć. Użytkownicy mogą też wybrać własnego dostawcę DoH, jak wyjaśniono tutaj.

Czy użytkownicy mogą zrezygnować z usługi z wyprzedzeniem?

Tak, można ustawić network.trr.mode na 5 ręcznie w about:config. Dodatkowe informacje na temat trybów można znaleźć tutaj.

Jak DoH wpłynie na przedsiębiorstwa z niestandardowymi rozwiązaniami DNS?

Ułatwiliśmy przedsiębiorstwom wyłączenie tej funkcji. Dodatkowo, Firefox wykryje, czy w urządzeniu zostały ustawione reguły korporacyjne i wyłączy DoH w tych okolicznościach. Jeśli jesteś administratorem systemu i chcesz dowiedzieć się, jak skonfigurować reguły korporacyjne, zapoznaj się z dokumentacją.

Jak DoH wpłynie na kontrolę rodzicielską?

Wiemy, że niektórzy dostawcy usług internetowych używają DNS, aby zaoferować usługę kontroli rodzicielskiej, która blokuje treści dla dorosłych. Mozilla jest zdania, że DNS nie jest najlepszym podejściem do kontroli rodzicielskiej, ale nie chcemy też przerywać istniejących usług, więc przed włączeniem DoH sprawdzamy szereg tzw. domen kanaryjskich. Jeśli te domeny wskazują, że kontrole rodzicielskie są włączone, wtedy wyłączamy DoH. Dodatkowe informacje można znaleźć na stronie https://blog.mozilla.org/futurereleases/2019/09/06/whats-next-in-making-dns-over-https-the-default/.

Czy sieci nie mogą po prostu cały czas uruchamiać kontroli domeny kanaryjskiej i wyłączać DoH?

Tak, domeny kanaryjskie są rozwiązaniem, które oferuje najlepsze zabezpieczenie w walce z napastnikami sieci i zapobiega przerwaniu istniejących usług. Będziemy monitorować ich użycie, badać wszelkie incydenty nadużyć i analizować środki mające na celu ich powstrzymanie.

Czy DoH może zablokować sieci dostarczania treści (CDN-y)?

Jesteśmy świadomi, że niektóre CDN-y używają sterowania ruchem w oparciu o DNS, na które DoH może mieć wpływ. Jednak nasze pomiary https://blog.mozilla.org/futurereleas.../dns-over-https-doh-update-recent-testing-results-and-next-steps/ pokazują, że czasy obciążenia stron DoH są konkurencyjne w porównaniu do zwykłych czasów obciążenia stron DNS. W trakcie i po zakończeniu okresu wdrażania będziemy monitorować wydajność programu Firefox, aby sprawdzić, czy nie ma żadnych usterek.

Jak Firefox radzi sobie z dzielonym DNS?

Jeśli Firefox nie rozwiąże domeny przez DoH, wyśle zapytanie z powrotem do DNS. Oznacza to, że wszystkie domeny, które są dostępne tylko w zwykłym DNS (ponieważ nie są publiczne), zostaną rozwiązane w ten sposób. Jeśli masz domenę, która jest publicznie rozwiązywalna, ale rozwiązuje się inaczej wewnętrznie, to powinieneś użyć ustawień korporacyjnych, aby wyłączyć DoH.

Czy sprawdzacie poprawność DNSSEC?

DNSSEC zapewnia, że odpowiedzi DNS nie zostały zmodyfikowane podczas transferu, ale nie szyfruje żądań i odpowiedzi DNS. Aby chronić prywatność użytkowników, nadaliśmy priorytet szyfrowaniu DNS przy użyciu DoH. Rozważamy wdrożenie DNSSEC w przyszłości.

Cloudflare dokonuje walidacji DNSSEC na zapytaniach, które Firefox wysyła do ich resolvera DoH. Nie zapewnia to jednak całkowitej integralności danych DNS. Obecnie rozwijamy DoH w "trybie awaryjnym", co oznacza, że każdy błąd zwrócony przez resolver Cloudflare jak błąd walidacji DNSSEC spowoduje, że Firefox ponownie wykona zapytanie za pomocą systemowego resolvera operacyjnego zamiast zwrócić błąd użytkownikowi.

Partnerstwo DNS poprzez HTTPS

Jakiego resolwera będzie używał Firefox?

Nasze pierwsze wdrożenie, odbywające tylko w USA, ustawia Cloudflare jako domyślnego dostawcę DoH. Użytkownicy mogą naprzemiennie wybierać z listy dodatkowych dostawców w naszym programie Trusted Recursive Resolver, który wymaga zgodności z naszymi wymogami polityki dotyczącymi prywatności i bezpieczeństwa użytkownika. Z czasem spodziewamy się dodać kolejnych dostawców do naszego programu Trusted Recursive Resolver. Ponadto, nasza wizja polega na tym, aby DoH było powszechnie przyjęte i wspierane przez wszystkie serwery DNS.

Jak Mozilla wybrała Cloudflare jako zaufanego dostawcę?

Cloudflare był w stanie spełnić nasze rygorystyczne wymagania, które obecnie posiadamy. Wymagania te są poparte naszą prawnie wiążącą umową z Cloudflare i zostały upublicznione w najlepszej w swojej klasie informacji o prywatności, która dokumentuje te zasady i zapewnia przejrzystość dla użytkowników.

Czy Mozilla otrzymuje zapłatę za przesyłanie żądań DNS do Cloudflare?

Żadne pieniądze nie są wymieniane za przesyłanie żądań DNS do Cloudflare.

Czy Mozilla lub Cloudflare zarabia na tych danych?

Nie, nasza polityka wyraźnie zakazuje monetyzacji tych danych. Naszym celem z tą funkcją jest zapewnienie ważnej ochrony prywatności dla naszych użytkowników i utrudnienie istniejącym resolwerom DNS monetyzacji danych DNS użytkowników.

Więcej o implementacji DNS-przez-HTTPS w Firefoksie

Jak wygląda wasz kalendarz wdrożenia?

Rozpoczniemy stopniowe wdrożenie w październiku 2019 roku tylko w USA. Oznacza to, że funkcja zostanie włączona niewielkiej liczbie użytkowników, i stopniowo będziemy powiększać tę liczbę, jednocześnie obserwując, czy pojawiają się jakieś problemy. Szczególowe informacje na ten temat znajdziesz tutaj.

Czy wprowadzicie to rozwiązanie jako domyślnie w Europie?

W ramach naszej ciągłej strategii dokładnego pomiaru korzyści i wpływu DoH, obecnie koncentrujemy się na wydaniu tej funkcji tylko w USA.

Czemu Firefox implementuje DoH, a nie DoT?

IETF ustandaryzował dwie metody bezpiecznych protokołów DNS: DNS-over-TLS (DoT) i DNS-over-HTTTPS (DoH). Te dwa protokoły mają zasadniczo podobne właściwości w zakresie bezpieczeństwa i prywatności. Wybraliśmy DoH, ponieważ uważamy, że lepiej pasuje do naszego istniejącego, dojrzałego stosu sieciowego przeglądarki (który skupia się na HTTP) i zapewnia lepsze wsparcie dla przyszłych funkcji protokołu, takich jak multipleksacja HTTP/DNS i QUIC.

Czy DoT jest łatwiejszy do wykrycia i zablokowania dla operatorów sieciowych?

Tak, nie uważamy tego za zaletę. Firefox zapewnia operatorom sieciowym mechanizmy sygnalizowania, że mają uzasadnione powody, aby wyłączyć DoH. Nie sądzimy, aby blokowanie połączenia z resolwerem było odpowiednią odpowiedzią.

Czy Server Name Indication (SNI) i tak nie zdradza nazw domeny?

Tak, chociaż nie wszystkie nazwy domen przeciekają przez SNI, mamy świadomość, że SNI przecieka i rozpoczęliśmy pracę nad Encrypted SNI.