DNS через HTTPS в Firefox

В этой статье даётся определение DNS через HTTPS и рассказывается, как включить, изменить настройки или отключить эту функцию.

О DNS через HTTPS

Когда вы вводите веб-адрес или доменное имя в адресную строку (например, www.mozilla.org), ваш браузер отправляет запрос через Интернет для поиска IP-адреса этого веб-сайта. Традиционно этот запрос отправляется на серверы посредством простого текстового соединения. Это соединение не шифруется, позволяя посторонним видеть, какой веб-сайт вы собираетесь посетить.

DNS через HTTPS (DoH) работает иначе. Он отправляет доменное имя, которое вы ввели, на DNS-сервер, совместимый с DoH, с помощью зашифрованного HTTPS-соединения вместо простого текста. Это предотвращает доступ посторонних к информации о том, какие веб-сайты вы собираетесь посетить.

Преимущества

DoH повышает уровень приватности, скрывая запросы по доменным именам от пользователей публичной сети Wi-Fi, вашего провайдера или других пользователей в вашей локальной сети. Когда DoH включён, вы можете быть уверенными, что ваш интернет-провайдер не может собирать и продавать персональную информацию, связанную с вашим поведением в Интернете.

Риски

  • Некоторые люди и организации полагаются на DNS в блокировке вредоносных программ, работе родительского контроля или фильтрации доступа браузера к веб-сайтам. Когда DoH включён, он обходит ваш DNS-преобразователь и нарушает эти специальные политики. При включении DoH по умолчанию, Firefox позволяет пользователям (через настройки) и организациям (через корпоративные политики и запросы к canary доменам) отключать DoH, когда он препятствует предпочитаемой политике.
  • Когда DoH включён, Firefox по умолчанию направляет DoH-запросы на DNS-сервера, управляемые доверенным партнёром, который имеет возможность видеть запросы пользователей. В Mozilla действует строгая политика Проверенных рекурсивных преобразователей (TRR), которая запрещает нашим партнёрам собирать персональные данные. Чтобы снизить риск сбора такой информации, наши партнёры обязаны подписать договор, закрепляющий соответствие этой политике.

О нашем развёртывании DNS через HTTPS

В 2019 году мы завершили развёртывание DoH по умолчанию для всех пользователей Firefox для компьютера в Соединённых Штатах и в 2021 году — для всех пользователей Firefox для компьютера в Канаде. Мы начали развёртывание по умолчанию для пользователей Firefox на ПК в России и Украине в марте 2022 года. Сейчас мы работаем над развёртыванием DoH в большем числе стран. Заметьте, что DoH включён для пользователей в режиме «резервирования». Это значит, что, например, если поиск по доменному имени с помощью DoH по какой-либо причине окажется неудачным, Firefox будет возвращаться к использованию DNS по умолчанию, сконфигурированному вашей операционной системой (ОС), вместо отображения ошибки.

Отказ от использования

Если вы являетесь действующим пользователем Firefox в стране, где мы развернули DoH по умолчанию, вы получите уведомление в Firefox, когда и если DoH будет задействован впервые, что позволит вам отказаться от использования DoH и вместо этого продолжить использование DNS-преобразователя ОС по умолчанию.

OptIn_Infobar

Кроме того, Firefox будет проверять определённые функции, которые могут быть затронуты при включении DoH, в частности:

  • Включён ли родительский контроль?
  • Фильтрует ли DNS-сервер по умолчанию потенциально вредоносное содержимое?
  • Управляется ли устройство организацией, использующей особую конфигурацию DNS?

Если какой-либо из этих тестов определит, что DoH может мешать работе данных функций, DoH не будет включён. Эти тесты будут запускаться каждый раз, когда устройство будет подключается к новой сети.

Включение, отключение и настройка DNS через HTTPS

Прочитайте статью Настройка уровней защиты DNS через HTTPS в Firefox.

Включение и отключение DNS через HTTPS вручную

Вы можете включить или отключить DoH в параметрах соединения Firefox:

  1. На Панели меню в верхней части экрана нажмите Firefox и затем выберите Параметры или Настройки в зависимости от вашей версии macOS.Нажмите кнопку меню Fx89menuButton и выберите Настройки.
  2. В разделе Основные прокрутите вниз до пункта «Параметры сети» и нажмите Настроить….
  3. В открывшемся диалоговом окне прокрутите до пункта «Включить DNS через HTTPS».
    • Включить: поставьте флажок «Включить DNS через HTTPS».
      Выберите или настройте пользовательского поставщика (см. ниже).
    • Выключить: снимите флажок «Включить DNS через HTTPS».
    Firefox_DoH Fx98_Enable_ruFx111DoH_Enable
  4. Нажмите OK, чтобы сохранить изменения и закрыть окно.

Переключение провайдеров

  1. На Панели меню в верхней части экрана нажмите Firefox и затем выберите Параметры или Настройки в зависимости от вашей версии macOS.Нажмите кнопку меню Fx89menuButton и выберите Настройки.
  2. В разделе «Основные» прокрутите вниз до пункта «Параметры сети» и нажмите Настроить….
  3. Откройте выпадающее меню «Используемый провайдер» под пунктом «Включить DNS через HTTPS», чтобы выбрать провайдера.
    Firefox_DoH Fx98_Choosing provider_ruFx111DoH_Provider
  4. Вы также можете выбрать Другой URL, чтобы установить собственного провайдера.
    Firefox_DoH Fx99_Choosing provider_Custom_ru
  5. Нажмите OK, чтобы сохранить изменения и закрыть окно.

Исключение отдельных доменов

Вы можете настроить исключения, для которых Firefox будет использовать преобразователь вашей ОС вместо DoH:

Предупреждение: Изменение расширенных настроек может повлиять на стабильность и безопасность Firefox. Эту функцию рекомендуется использовать только опытным пользователям.

  1. Введите about:config в адресной строке и нажмите EnterReturn.
    Может появиться страница с предупреждением. Нажмите Принять риск и продолжить, чтобы перейти на страницу about:config.
  2. Найдите параметр network.trr.excluded-domains.
  3. Нажмите кнопку Изменить Fx71aboutconfig-EditButton рядом с параметром.
  4. Добавьте домены, разделённые запятыми, в список и нажмите на флажок Fx71aboutconfig-Checkmark, чтобы сохранить изменения.
Не удаляйте никакие домены из списка.

О дочерних доменах: Firefox будет проверять все домены, которые вы перечислили в network.trr.excluded-domains, и соответствующие им дочерние домены. Например, если вы введёте example.com, Firefox также исключит и www.example.com.

Настройка сетей для отключения DoH

Encrypted Client Hello (ECH)

Начиная с Firefox версии 118, мы развёртываем важную функцию безопасности: Encrypted Client Hello (ECH). Его главная роль - повысить безопасность первоначального "рукопожатия" при подключении во время онлайн-взаимодействия. ECH в сочетании с DNS через HTTPS (DoH) повышает безопасность просмотра на ступеньку выше:

  • Требование DoH: В реализации Firefox ECH полагается на DoH для получения необходимых ключей шифрования для "рукопожатия". Без включенного DoH ECH не может работать.
  • Синергетическая защита: DoH работает, шифруя DNS-запросы, эффективно защищая преобразование названий веб-сайтов в IP-адреса. С другой стороны, ECH акцентируется на шифровании С другой стороны, ECH фокусируется на шифровании первоначального обмена данными между пользователем и веб-сайтом. Вместе они обеспечивают комплексную защиту от многих онлайн-угроз.
  • Улучшенная защита: При включенных ECH и DoH пользователи получают расширенный двухуровневый уровень конфиденциальности, уменьшающий потенциальные уязвимости и повышающий конфиденциальность в режиме онлайн.

Убедитесь, что DoH включен в Firefox, чтобы в полной мере воспользоваться улучшениями безопасности, предоставляемыми ECH. Для углубленного понимания прочитайте статьи Что нужно знать об Encrypted Client Hello (ECH) и Encrypted Client Hello (ECH): часто задаваемые вопросы.

Помогла ли эта статья?

Пожалуйста, подождите...

Эти прекрасные люди помогли написать эту статью:

Harry, Valery Ledovskoy, Fabi, Denys, Agehrg4
Illustration of hands

Станьте волонтёром

Растите и делитесь опытом с другими. Отвечайте на вопросы и улучшайте нашу базу знаний.

Подробнее