刚开始使用基于 HTTPS 的 DNS(DoH)?放心!我们总结了一些常见问题和解答。希望此文让你能够快速了解 DoH 提供的能力。更多信息,请参看 Firefox 基于 HTTPS 的 DNS 功能。
目录
默认带有 DoH 地区的 Firefox 用户的基于 HTTPS 的 DNS 如何工作
基于 HTTPS 的 DNS 对默认启用地区的 Firefox 用户如何工作?
实施 DoH 是我们保护用户数据不受在线跟踪的工作之一。为了达成该目标,Mozilla 通过法律合同要求所有经由 Firefox 的 DNS 提供商遵循我们的 解析政策。这些政策严格规定了可保留数据的种类、提供商可以对数据做什么以及数据可以保留多久。这一严格政策意在保护用户不被提供商收集和货币化。
用户是否会获得提示?是否可以选择不用?
是的。用户需要决定是否启用 DNS 隐私保护,否则相关通知不会消失。
用户是否可以禁用 DoH?
是的,你可以禁用 DoH。在 Firefox 设置部分的 面板,你可以选择自己的 DoH 提供方,也可以修改其他相关设置。详细信息,请参看 在 Firefox 中配置基于 HTTPS 的 DNS 保护级别 一文。
是的,用户可以在 Firefox 网络设置 中禁用 DoH。他们可以禁用 DoH 和/或按照 此处 的解释选择自己的 DoH 提供方。
用户是否可以提前选择不用?
是的,他们可以在 配置编辑器 页面手动设置 network.trr.mode 为 5。请在 此处 了解更多模式。
DoH 对使用定制化 DNS 方案的企业有什么影响?
我们特意让企业用户更容易禁用此功能。另外,Firefox 会检测相关设备是否设置有启用政策,如果有,就会禁用 DoH。如果你是需要了解如何配置企业政策的系统管理员,那么请阅读 这里 的文档。
DoH 如何影响家长控制?
我们知道有些互联网服务提供商(ISP)使用 DNS 提供家长控制服务来拦截成人内容。Mozilla 认为 DNS 并不是家长控制的最好方式,但是我们也不想破坏已有的服务,所以我们在启用 DoH 之前会做域名检查。如果域名检查表示家长控制已启用,那么我们就禁用 DoH。更多信息,请参看 这篇博文。
难道网络不能一直开启域名检查并禁用 DoH?
是的,域名检查是对抗网络攻击和阻止已有部署被破坏的最安全方案。我们会监控其使用、调查滥用事件并对此类事件采取应对措施。
DoH 会破坏内容分发网络(CDN)吗?
我们了解有些 CDN 使用基于 DNS 的流量管理,这可能会受到 DoH 的影响。不过,我们的 测量 显示 DoH 页面的加载时间和普通 DNS 页面的加载时间相比并不算差。在发布期间和发布之后,我们会持续监测 Firefox 的性能,看看是否有问题。
Firefox 如何处理水平分割的 DNS?
如果 Firefox 不能通过 DoH 解析域名,那么它会回归到使用 DNS。这就是说,只能通过普通 DNS 获取的域名(因为不公开)就会按照 DNS 来解析。如果你的域名是公开可解析,但是内部使用其他方法解析,那么你应该使用企业政策设置禁用 DoH。
你们是否验证 DNSSEC?
DNSSEC 保证 DNS 的反馈在传输时不被改变,但是它并不加密 DNS 请求和反馈。我们使用 DoH 提高了 DNS 加密的优先级以保护用户隐私。我们考虑在将来实施 DNSSEC。
基于 HTTPS 的 DNS 功能合作伙伴
Firefox 使用什么解析器?
在 DoH 部署的地区,我们都有默认的解析器(在美国,我们选择 Cloudflare 作为默认解析器)。用户可以在我们的 可信解析器 其他提供商 伙伴 Trusted Recursive Resolver program)列表中选择其他的解析器,这个计划需要提供商就用户隐私和安全遵循我们的隐私和安全要求。我们预计会有更多的提供商加入该计划。另外,我们的远景是 DoH 被广泛接纳并被所有 DNS 解析器支持。
Mozilla 如何选择可信的解析器?
默认解析器能够达到我们现有的严格 政策要求。这些要求写在我们的法律合同中,并且公开在一个同类最佳的隐私声明中,该声明记录了这些政策并对用户公开透明。
Mozilla 是否因为将 DNS 请求转到默认解析器而获得收益?
将 DNS 请求路由到默认解析器不牵扯到金钱交易。
Mozilla 或默认解析器是否将这些数据货币化?
不,我们的政策明确禁止将数据货币化。对我们来说,该功能的目的是为用户提供重要的隐私保护,并使现有的 DNS 解析器更难以货币化用户的 DNS 数据。
更多关于 Firefox 的基于 HTTPS 的 DNS 实施计划
你们的实施排期是怎么样子的?
我们在美国于 2019 年、在加拿大于 2021 年、在俄罗斯和乌克兰于 2022 年 3 月部署了 DoH。我们目前正计划在更多地区展开部署。
欧洲是否默认采用?
作为仔细监控 DoH 的影响和好处的持续战略组成部分,我们目前已经在美国、加拿大、俄罗斯和乌克兰默认发布。
为什么 Firefox 使用 DoH 而不是 DoT?
IETF 有两个 DNS 安全传输的协议标准:基于 TLS 的 DNS (DoT) 和 基于 HTTPS 的 DNS (DoH)。这两个标准的安全和隐私特性大致类似。我们选择 DoH 的理由是它和我们现有的成熟浏览器网络栈(针对 HTTP)更容易配合,它为 HTTP/DNS 多路复用和 QUIC 等未来的协议功能提供了更好的支持。
DoT 对网络操作方是否更容易检测和拦截?
是的。我们不认为这是一个优势。Firefox 为网络操作方提供了判断是否禁用 DoH 的机制。我们认为阻止解析器的连接不是一个合适的反应。
难道服务器名称标识(SNI)不是总会泄漏域名吗?
是的。虽然不是所有的域名都通过 SNI 泄漏出去,但是我们还是很担心 SNI 的泄漏问题。我们已经着手 SNI 加密 的工作。
什么是启发式 DoH?
它是启用 DOH 时 Firefox 进行的一系列检查,目的是查看启用 DoH 是否有负面影响。(如果你主动启用 DOH,那么这些检查会被跳过。)例如,如果企业政策活家长控制已启用,那么 DoH 将仍保持禁用状态。更多信息,请参看 Security/DNS Over HTTPS/Heuristics 和 配置网络以禁用基于 HTTPS 的 DNS。
