DNS por HTTPS (DoH) - Perguntas Mais Frequentes

Firefox Firefox Last updated: 4 months ago

Apenas a começar com o «DNS por HTTPS» (DoH)? Não precisa de se preocupar! Nós descrevemos aqui uma lista de perguntas mais frequentes que pode achar úteis enquanto se atualiza com tudo o que o DoH tem para oferecer. Para obter informação adicional, consulte «DNS sobre HTTPS» no Firefox.

Tabela de conteúdos

Como é que «DNS sobre HTTPS» funciona para os utilizadores do Firefox baseados nos locais onde nós lançamos o DoH por predefinição

O que é a política de privacidade para «DNS por HTTPS»?

A implementação do DoH faz parte do nosso trabalho para proteger os utilizadores contra a monitorização on-line infiltrante dos dados pessoais. Para fazer isso, a Mozilla exige que todos os provedores de DNS que podem ser selecionados no Firefox correspondam com a nossa política dissolvente através de um contrato juridicamente vinculativo. Estes requisitos colocam limites estritos no tipo de dados que poderão ser retidos, o que o provedor pode fazer com esses dados, e durante quanto tempo é que os podem manter. Esta política estrita visa proteger os utilizadores dos provedores capazes de recolherem e monetizar os seus dados.

Os utilizações serão avisados quando isto estiver ativado e será oferecida uma opção para desativar?

Sim, será exibida uma notificação no Firefox e não irá desaparecer até que o utilizador tome uma decisão sobre a ativação ou desativação das proteções de privacidade do DNS.

OptIn_Infobar

Os utilizadores irão poder desativar DoH?

Sim, eles podem desativar DoH, selecionar os seus próprios provedores de DoH e efetuar outras alterações da configuração no painel Privacidade e Segurança nas definições do Firefox, como explicado no artigo Configurar níveis de proteção de «DNS sobre HTTPS» no Firefox. Sim, eles podem desativar DoH nas definições de "Rede" do Firefox. Eles podem desativar DoH e/ou selecionar os seus próprios provedores de DoH, como explicado aqui.

Os utilizadores podem optar por cancelar com antecedência?

Sim, pode definir manualmente network.trr.mode para 5 no «Editor de Configuração». Pode encontrar informação adicional sobre os modos aqui.

Como é que DoH irá afetar as empresas com soluções personalizadas de DNS?

Nós facilitamos às empresas a desativação desta funcionalidade. Além disso, o Firefox irá detectar se as políticas de empresa foram definidas no dispositivo e desativará o DoH nessas circunstâncias. Se é um administrador de sistemas interessado em aprender a configurar as políticas de empresa, consulte a documentação.

Como é que DoH irá afetar os controlos parentais?

Nós sabemos que alguns ISPs utilizam o DNS para oferecer um serviço de controle parental que bloqueia conteúdo adulto. A visão da Mozilla é que o DNS não é a melhor abordagem para o controle parental, mas também nós não queremos interromper os serviços existentes, portanto, nós verificamos uma série de domínios canary antes de ativar o DoH. Se esses domínios indicarem que os controles parentais estão ativados, então, nós desativamos o DoH. Para informação adicional, consulte esta publicação do blogue da Mozilla.

As redes não podem adicionar a verificação do domínio "canary" todo o tempo e desativar DoH?

Sim, domínios canary são uma solução que oferece a melhor segurança para combater os atacantes da rede e impedir a quebra de implantações existentes. Nós iremos monitorizar a sua utilização, investigar quaisquer incidentes de abuso e nós examinaremos as medidas para conter esses incidentes.

DoH irá causar problemas com "Content Delivery Network" (CDNs)?

Nós estamos cientes que algumas CDNs utilizam o direcionamento de tráfego baseado em DNS que pode ser afetado pelo DoH. No entanto, o nosso gráfico mostra que os tempos de carregamento da página DoH são competitivos em comparação com os tempos comuns de carregamento da página DNS. Durante e depois do período de lançamento, nós iremos monitorizar o desempenho do Firefox para verificar se existem defeitos.

Como é que o Firefox lida com "split-horizon" DNS?

Se o Firefox falhar para resolver um domínio via DoH, este reverterá para DNS. Isto significa que todos os domínios disponíveis apenas no DNS comum (porque não são públicos) serão resolvidos dessa maneira. Se possui um domínio publicamente resolvente, mas resolve diferentemente internamente, então deveria utilizar as configurações de empresa para desativar o DoH.

Validam DNSSEC?

DNSSEC (Extensões de Segurança do Sistema de Nome de Domínio) assegura que as respostas de DNS não foram adulteradas durante o transporte, mas não encripta os pedidos e respostas de DNS. Nós demos prioridade à encriptação de DNS utilizando o DoH para proteger a privacidade do utilizador. Nos estamos a considerar a implementação do DNSSEC, no futuro.

Parceiros de «DNS por HTTPS»

Qual o resolvente que o Firefox está a utilizar?

Em cada país onde nós lançamos o DoH, nós iremos ter um resolvente predefinido (por exemplo, nos EUA, o resolvente predefinido é Cloudflare). Alternativamente, os utilizadores podem selecionar de uma lista de provedores adicionais no nosso programa "Trusted Recursive Resolver", que requer conformidade com os nossos requisitos da política relacionado com a privacidade e segurança do utilizador. Ao longo do tempo, nós esperamos adicionar mais provedores ao nosso programa "Trusted Recursive Resolver". Adicionalmente, a nossa visão é para que o DoH seja adotado universalmente e suportado pelos resolventes de DNS.

Como é que a Mozilla escolhe os seus resolventes de confiança?

Os nossos resolventes predefinidos são capazes de corresponder aos requisitos da política rigorosa que nós temos atualmente em vigor. Estes requisitos estão descritos nos contratos legalmente vinculativos e foram tornados públicos da melhor forma possível no aviso de privacidade que documenta essas políticas e proporciona transparência para os utilizadores.

A Mozilla recebe dinheiro para encaminhar os pedidos de DNS para os seus resolventes predefinidos?

Nenhum dinheiro está a ser trocado para encaminhar pedidos de DNS para os nossos parceiros resolventes predefinidos.

A Mozilla ou os seus parceiros resolventes predefinidos monetizam estes dados

Não, a nossa política proíbe explicitamente a monetização destes dados. O nosso objetivo com esta funcionalidade é fornecer proteções de privacidade importantes aos nossos utilizadores e tornar difícil a monetização dos dados de DNS dos utilizadores para os resolventes de DNS existentes.

Mais sobre a implementação de «DNS por HTTPS» do Firefox

Qual é o seu plano de lançamento?

Nós lançamos o DoH por predefinição nos EUA em 2019, no Canadá em 2021, e na Rússia e Ucrânia em março de 2022. Nós atualmente, estamos a planear as etapas para os lançamentos por predefinição para idiomas adicionais.

Vão implementar esta predefinição na Europa?

Como parte da nossa estratégia contínua de avaliar cuidadosamente os benefícios e o impacto do DoH, nós lançamos esta funcionalidade por predefinição na Rússia, Ucrânia, bem como EUA e Canadá, por agora.

Porque é que o Firefox está a implementar DoH e não DoT?

A IETF (Grupo de Trabalho de Engenharia da Internet) estandardizou dois DNS sobre protocolos de transporte seguro: «DNS sobre TLS» (DoT) e «DNS por HTTPS» (DoH). Estes dois protocolos possuem propriedades de segurança e privacidade amplamente semelhantes. Nós escolhemos o DoH porque nós acreditamos que ele se enquadra melhor na nossa pilha de rede de navegador madura existente (focada em HTTP) e fornece melhor suporte para os recursos futuros de protocolo, tais como multiplexagem de HTTP/DNS e QUIC.

DoT é mais fácil para as operadoras de rede detetarem e bloquearem?

Sim, nós não achamos que isso seja uma vantagem. O Firefox fornece mecanismos para que as operadoras de rede sinalizem que têm motivos legítimos para desativar o DoH. Nós não acreditamos que bloquear a ligação com o resolvente seja uma resposta apropriada.

SNI (Indicação do Nome do Servidor) não divulga os nomes de domínio?

Sim, embora nem todos os nomes de domínio sejam divulgados pelo SNI, nós estamos preocupados com estas divulgações do SNI e começamos a trabalhar no "SNI Encriptado".

O que são heurísticas DoH?

Estas são um conjunto de verificações que o Firefox realiza antes de ativar o DoH por predefinição para os utilizadores nas regiões de implementação, para ver se a ativação do DoH terá um impacto negativo. (Estas verificações serão ignoradas se tiver ativado explicitamente o DoH.) Por exemplo, o DoH permanecerá desativado se as políticas empresariais ou os controles parentais estiverem ativados. Para saber mais, consulte Security/DNS Over HTTPS/Heuristics e Configurar Redes para Desativar «DNS por HTTPS».

Este artigo foi útil?

Por favor, aguarde...

Estas pessoas fantásticas ajudaram a escrever este artigo:

Illustration of hands

Participar

Cresça e partilhe a sua experiência com outras pessoas. Responda a perguntas e melhore a nossa base de conhecimentos.

Saber mais