Настройка сетей для отключения DNS через HTTPS

Мы в Mozilla убеждены, что [[Firefox DNS-over-HTTPS|DNS через HTTPS (DoH)]] - функция, которую должны все использовать для улучшения своей приватности. Шифруя DNS-запросы, DoH скрывает от всех в сети ваши данные о посещении сайтов на пути от вас до вашего сервера имён. Например, использование стандартных DNS-запросов в публичной сети может потенциально раскрыть каждый сайт, который вы посещаете другим пользователям сети, а также оператору сети. Несмотря на то, что мы поддерживаем использование всеми DoH, мы также видим, что существует несколько обстоятельств, в которых DoH может быть нежелательным, а именно: *Сети, в которых осуществляется какая-либо фильтрация посредством DNS-преобразователя. Это обычно используется для функционирования родительского контроля и блокировки доступа к вредоносным сайтам. *Сети, отвечающие на приватные имена и/или возвращающие другие ответы относительно предлагающихся публично. Например, компания может выставить адрес приложения, используемого сотрудниками, который используется только во внутренней сети. Сети могут подавать сигналы Firefox о том, что существуют специальные функции, подобные этим, которые были бы отключены, если бы DoH использовался для разрешения доменного имени. Проверка этой сигнализации будет работать в Firefox, когда DoH включён для пользователей по умолчанию. В первую очередь это начнёт работать для пользователей, расположенных в США, осенью 2019 г. Если пользователь включит DoH вручную, этот сигнал от сети будет проигнорирован и будет учтено предпочтение пользователя. Администраторы сетей могут сконфигурировать свои сети следующим образом, чтобы сигнализировать о том, что на их локальном DNS-преобразователе работают специальные функции, которые делают такую сеть неподходящей для DoH: DNS-запросы для записей A и AAAA для домена “use-application-dns.net” должны возвращать NXDOMAIN вместо IP-адреса, полученного от надёжного сервера имён. Домен “use-application-dns.net” называется “канареечным доменом”. Некоторые существующие провайдеры DNS-фильтрации уже обрабатывают аналогичные пользовательские домены, чтобы проверить, работает ли фильтрация. Этот новый домен отличается от них тем, что предназначен для применения во многих решениях, связанных с фильтрацией, а также проверяется таким программным обеспечением, как Firefox, а не явно самим пользователем. Этот механизм был создан Mozilla в качестве временной меры, пока не будет утверждён более постоянный стандарт для интернета по сигнализации наличия фильтрации содержимого на базе DNS. В дополнение к сигнализации на основе канареечного домена, описанной выше, Firefox будет совершать некоторые проверки для функций сетей, несовместимых с DoH, до включения его для пользователя. Эти проверки будут проводиться при запуске браузера, а также каждый раз, когда браузер будет определять, что он был перемещён в другую сеть, например, когда ноутбук используется дома, на работе и в кафе. Когда любая из этих проверок будет сообщать о потенциальной проблеме, Firefox будет отключать DoH до окончания сетевого сеанса, если только пользователь не включит настройку “всегда использовать DoH”, как указывалось выше. Дополнительные проверки, которые будут проводиться для фильтрации содержимого, включают в себя: *Разрешение канареечных доменов определённых известных DNS-провайдеров для определения фильтрации содержимого *Разрешение вариантов "безопасного поиска" google.com и youtube.com, чтобы определить, не перенаправляет ли сеть на них *На Windows и macOS определение родительского контроля, включённого в операционной системе Дополнительные проверки, которые будут производиться для частных “корпоративных” сетей: *Выставлена ли настройка Firefox {pref security.enterprise_roots.enabled} в значение {pref true}? *Настроена ли какая-либо [/products/firefox-enterprise/policies-customization-enterprise/manage-settings-policy корпоративная политика]?

Мы в Mozilla убеждены, что DNS через HTTPS (DoH) - функция, которую должны все использовать для улучшения своей приватности. Шифруя DNS-запросы, DoH скрывает от всех в сети ваши данные о посещении сайтов на пути от вас до вашего сервера имён. Например, использование стандартных DNS-запросов в публичной сети может потенциально раскрыть каждый сайт, который вы посещаете другим пользователям сети, а также оператору сети.

Несмотря на то, что мы поддерживаем использование всеми DoH, мы также видим, что существует несколько обстоятельств, в которых DoH может быть нежелательным, а именно:

• Сети, в которых осуществляется какая-либо фильтрация посредством DNS-преобразователя. Это обычно используется для функционирования родительского контроля и блокировки доступа к вредоносным сайтам.
• Сети, отвечающие на приватные имена и/или возвращающие другие ответы относительно предлагающихся публично. Например, компания может выставить адрес приложения, используемого сотрудниками, который используется только во внутренней сети.

Сети могут подавать сигналы Firefox о том, что существуют специальные функции, подобные этим, которые были бы отключены, если бы DoH использовался для разрешения доменного имени. Проверка этой сигнализации будет работать в Firefox, когда DoH включён для пользователей по умолчанию. В первую очередь это начнёт работать для пользователей, расположенных в США, осенью 2019 г. Если пользователь включит DoH вручную, этот сигнал от сети будет проигнорирован и будет учтено предпочтение пользователя.

Администраторы сетей могут сконфигурировать свои сети следующим образом, чтобы сигнализировать о том, что на их локальном DNS-преобразователе работают специальные функции, которые делают такую сеть неподходящей для DoH:

DNS-запросы для записей A и AAAA для домена “use-application-dns.net” должны возвращать NXDOMAIN вместо IP-адреса, полученного от надёжного сервера имён.

Домен “use-application-dns.net” называется “канареечным доменом”. Некоторые существующие провайдеры DNS-фильтрации уже обрабатывают аналогичные пользовательские домены, чтобы проверить, работает ли фильтрация. Этот новый домен отличается от них тем, что предназначен для применения во многих решениях, связанных с фильтрацией, а также проверяется таким программным обеспечением, как Firefox, а не явно самим пользователем. Этот механизм был создан Mozilla в качестве временной меры, пока не будет утверждён более постоянный стандарт для интернета по сигнализации наличия фильтрации содержимого на базе DNS.

В дополнение к сигнализации на основе канареечного домена, описанной выше, Firefox будет совершать некоторые проверки для функций сетей, несовместимых с DoH, до включения его для пользователя. Эти проверки будут проводиться при запуске браузера, а также каждый раз, когда браузер будет определять, что он был перемещён в другую сеть, например, когда ноутбук используется дома, на работе и в кафе. Когда любая из этих проверок будет сообщать о потенциальной проблеме, Firefox будет отключать DoH до окончания сетевого сеанса, если только пользователь не включит настройку “всегда использовать DoH”, как указывалось выше.

Дополнительные проверки, которые будут проводиться для фильтрации содержимого, включают в себя:

• Разрешение канареечных доменов определённых известных DNS-провайдеров для определения фильтрации содержимого
• Разрешение вариантов "безопасного поиска" google.com и youtube.com, чтобы определить, не перенаправляет ли сеть на них
• На Windows и macOS определение родительского контроля, включённого в операционной системе

Дополнительные проверки, которые будут производиться для частных “корпоративных” сетей:

• Выставлена ли настройка Firefox security.enterprise_roots.enabled в значение true?
• Настроена ли какая-либо корпоративная политика?