О DNS через HTTPS

Когда вы вводите веб-адрес или доменное имя в вашу адресную строку (например, www.mozilla.org), ваш браузер отправляет запрос через Интернет с целью поиска IP-адреса для этого веб-сайта.

Традиционно этот запрос отправляется на серверы посредством простого текстового соединения. Это соединение не шифруется, позволяя сторонним лицам видеть, какой веб-сайт вы собираетесь посетить.

DNS через HTTPS (DoH) работает иначе. Он отправляет доменное имя, которое вы ввели, на DNS-сервер, совместимый с DoH, с помощьюю зашифрованного HTTPS-соединения вместо простого текста. Это защищает информацию о том, какие веб-сайты вы собираетесь посетить, от просмотра сторонними лицами.

Преимущества

DoH повышает уровень приватности, скрывая запросы по доменным именам от кого-то, скрывающегося в публичных WiFi, вашего интернет-провайдера и всех остальных в вашей локальной сети. DoH, будучи включён, позволяет быть уверенным в том, что ваш интернет-провайдер не может собирать и продавать персональную информацию, относящуюся к вашему поведению при просмотре.

Риски

• Некоторые люди и организации полагаются на DNS для блокировки вредоносных программ, работы родительского контроля или фильтрации доступа вашего браузера к веб-сайтам. Будучи включён, DoH обходит ваш DNS-резолвер и ломает эти специальные политики. Firefox позволяет пользователям (через настройки) и организациям (через корпоративные политики и запросы к канареечным сайтам) отключить DoH, когда он препятствует предпочитаемой политике.
• В США Firefox по умолчанию направляет DoH-запросы на DNS-сервера, которыми управляет CloudFlare, это означает, что CloudFlare имеет возможность видеть запросы пользователей. В Mozilla действует строгая политика для Надёжных рекурсивных резолверов (TRR), которая запрещает CloudFlare или другому DoH-партнёру собирать персональную идентифицирующую информацию. Чтобы снизить этот риск, наши партнёры обязаны подписать договор, чтобы соответствовать этой политике.
• DoH может работать медленнее традиционных DNS-запросов, но при тестировании мы обнаружили, что воздействие минимально, а во многих случаях DoH быстрее.

О развёртывании DNS через HTTPS в США

Mozilla анонсировала планы по включению DoH для всех пользователей Firefox для ПК в Соединённых Штатах в 2019 г. DoH будет включён для пользователей в "альтернативном" режиме. Например, если поиск по доменному имени с помощью DoH по какой-либо причине окажется неуспешным, Firefox будет возвращаться к использованию DNS по умолчанию, сконфигурированному операционной системой (ОС) вместо отображения ошибки.

Выход из участия

Для существующих пользователей Firefox, расположенных в США, будет показываться уведомление, показанное ниже, когда и если DoH будет задействован впервые, позволяя пользователям отказаться от использования DoH и вместо этого продолжить использование DNS-резолвера ОС по умолчанию.

В дополнение к этому Firefox будет проверять определённые функции, которые могут быть задеты при включении DoH, включая:

• Включён ли родительский контроль?
• Фильтрует ли DNS-сервер по умолчанию потенциально вредоносное содержимое?
• Управляется ли устройство организацией, у которой может функционировать особая конфигурация DNS?

Если в ходе какиъ-либо из этих тестов будет определено, что DoH может помешать данным функциям, DoH включён не будет. Эти тесты будут запускаться каждый раз, когда устройство подсоединяется к другой сети.

На начальном этапе развёртывания, DoH будет включён через исследование Firefox. Если пользователь принял уведомление, он может впоследствии отказаться, набрав about:studies в адресной строке для поиска активного исследования под названием DNS over HTTPS US Rollout. Если оно существует, то вы можете удалить исследование. Поскольку исследование может быть уже активировано, описанными выше действиями, вы также должны ввести about:config в адресной строке, принять предупреждение и найти network.trr.mode, чтобы убедится, что значение либо ‘0’ (выключен) либо '5' (выкл по выбору пользователя). Установка этого значения в ‘5’ гарантирует, что DoH не будет автоматически включён в будущем.

Включение и отключение DNS через HTTPS вручную

Вы можете включить или отключить DoH в параметрах сети Firefox:

1. На Панели меню в верхней части экрана нажмите Firefox и выберите Настройки (выберите Параметры на старых версиях macOS).Нажмите кнопку меню и выберите Настройки.
2. На панели Основные прокрутите вниз до Настройка сети и щёлкните по кнопке Настроить....
3. В открывшемся диалоговом окне прокрутите до Включить DNS через HTTPS.
   • Включить: Отметьте флажок Включить DNS через HTTPS. Выберите поставщика или настройте пользовательский поставщик.
   • Выключить: Снимите флажок Включить DNS через HTTPS.

   

4. Щёлкните по кнопке OK, чтобы сохранить изменения и закрыть окно.

Переключение провайдеров

1. На Панели меню в верхней части экрана нажмите Firefox и выберите Настройки (выберите Параметры на старых версиях macOS).Нажмите кнопку меню и выберите Настройки.
2. Прокрутите до Параметры сети и щёлкните по кнопке Настроить….
3. Щёлкните по выпадающему меню под Включить DNS через HTTPS, чтобы выбрать провайдера.

   

Исключение отдельных доменов

Вы можете настроить исключения, для которых Firefox будет использовать ресолвер вашей ОС вместо DoH:

1. Введите about:config в адресной строке и нажмите EnterReturn.
   Может появиться страница с предупреждением. Нажмите Принять риск и продолжить, чтобы перейти на страницу about:config.
2. Найдите и дважды щёлкните по параметру network.trr.excluded-domains preference.
   Для быстрого его поиска введите excluded-domains в поле Поиск над списком параметров.
3. Добавьте домены, разделённые запятыми, в список и щёлкните OK.
   Примечание: Не удаляйте никакие домены из списка.

Настройка сетей для отключения DoH

Прочитайте статьи Настройка сетей для отключения DNS через HTTPS и Часто задаваемые вопросы о DNS через HTTPS.