W tym artykule opisano DNS poprzez HTTPS i sposób włączania, edytowania ustawień lub wyłączania tej funkcji.
Spis treści
- 1 O usłudze DNS poprzez HTTPS
- 2 Korzyści
- 3 Ryzyka
- 4 O naszym wdrożeniu DNS przez HTTPS
- 5 Jak wypisać się z tej funkcji
- 6 Włączanie, wyłączanie i konfiguracja DNS poprzez HTTPS
- 7 Ręczne włączanie i wyłączanie usługi DNS poprzez HTTPS
- 8 Zmiana dostawcy serwera DoH
- 9 Wykluczenie określonych domen
- 10 Jak skonfigurować sieć, by zablokować DoH
- 11 Encrypted Client Hello (ECH)
O usłudze DNS poprzez HTTPS
Po wpisaniu adresu internetowego lub nazwy domeny w pasku adresu (na przykład: www.mozilla.org) przeglądarka wysyła przez Internet prośbę o wyszukanie adresu IP dla tej strony internetowej. Tradycyjnie żądanie to jest wysyłane do serwerów DNS za pośrednictwem zwykłego połączenia tekstowego. Połączenie to nie jest zaszyfrowane, co ułatwia osobom trzecim sprawdzenie, do jakiej strony internetowej masz zamiar uzyskać dostęp.
DNS poprzez HTTPS (DoH) działa inaczej. Wysyła nazwę domeny wpisaną przez użytkownika na serwer DNS kompatybilny z DoH przy użyciu szyfrowanego połączenia HTTPS zamiast połączenia tekstowego. Uniemożliwia to osobom trzecim wgląd w strony internetowe, do których próbujesz uzyskać dostęp.
Korzyści
DoH zwiększa prywatność poprzez ukrywanie wyszukiwań nazw domen przed osobami czającymi się w publicznej sieci Wi-Fi, twoim ISP lub kimkolwiek innym w twojej sieci lokalnej. DoH, gdy jest włączone, zapewnia, że twój ISP nie może zbierać i sprzedawać danych związanych z twoimi zachowaniami podczas przeglądania stron internetowych.
Ryzyka
- Niektóre osoby i organizacje polegają na systemie DNS w celu blokowania złośliwego oprogramowania, włączania kontroli rodzicielskiej lub filtrowania dostępu przeglądarki do witryn internetowych. Gdy funkcja DoH jest włączona, omija lokalny serwer DNS i łamie te specjalne zasady. Przy domyślnym aktywowaniu DoH, Firefox umożliwi użytkownikom (poprzez ustawienia) i organizacjom (poprzez konfigurację polityk korporacyjnych oraz wyszukiwanie domeny kanarkowej) wyłączenie DoH, gdy zakłóca to preferowaną politykę.
- Gdy DoH jest włączony, Firefox domyślnie kieruje zapytania DoH do serwerów DNS obsługiwanych przez naszego zaufanego partnera, co oznacza, że ma on możliwość przeglądania zapytań użytkowników. Mozilla posiada silną politykę Trusted Recursive Resolver (TRR), która zabrania naszym partnerom zbierania danych osobowych. Aby zmniejszyć to ryzyko, nasi partnerzy są umownie zobowiązani do przestrzegania tej polityki.
- DoH może być wolniejsze od tradycyjnych zapytań DNS, ale podczas testów okazało się, że wpływ jest minimalny, a w wielu przypadkach DoH jest szybszy.
O naszym wdrożeniu DNS przez HTTPS
Zakończyliśmy wdrażanie funkcji DoH dla wszystkich użytkowników przeglądarki Firefox na komputery stacjonarne w Stanach Zjednoczonych w 2019 roku, i w Kanadzie w 2021. W marcu 2022 zaczęliśmy wdrażać domyślny DoH w Rosji i w Ukrainie. Obecnie pracujemy nad wprowadzeniem DoH w kolejnych krajach. Aktualnie DoH działa w trybie “zastępczym”. Na przykład, jeśli wyszukiwanie nazwy domeny przez serwer DoH z jakiegoś powodu zawiedzie, Firefox wycofa się i użyje domyślnego DNS skonfigurowanego przez system operacyjny zamiast wyświetlać błąd.
Jak wypisać się z tej funkcji
Jeśli jesteś użytkownikiem Firefoksa w lokalizacjach gdzie domyślnie działa DoH, przed pierwszym uruchomieniem DoH otrzymasz powiadomienie w Firefoksie, które pozwoli ci zrezygnować z włączenia DoH i zamiast tego kontynuować używanie domyślnego resolwera DNS systemu operacyjnego.
Ponadto Firefox sprawdzi, czy pewne funkcje, na które może mieć wpływ, jeśli funkcja DoH jest włączona, w tym:
- Czy kontrole rodzicielskie są włączone?
- Czy domyślny serwer DNS filtruje potencjalnie szkodliwe treści?
- Czy urządzenie jest zarządzane przez organizację, która może mieć specjalną konfigurację DNS?
Jeśli którykolwiek z tych testów ustali, że DoH może zakłócać działanie funkcji, DoH nie zostanie włączony. Testy te będą przeprowadzane za każdym razem, gdy urządzenie połączy się z inną siecią.
Włączanie, wyłączanie i konfiguracja DNS poprzez HTTPS
Zapoznaj się z artykułem Konfiguracja poziomów ochrony DNS poprzez HTTPS w Firefoksie.
Ręczne włączanie i wyłączanie usługi DNS poprzez HTTPS
Możesz włączyć lub wyłączyć DoH w swoich ustawieniach połączenia internetowego:
- Z paska menu u góry ekranu wybierz , a następnie lub , w zależności od wersji systemu macOS.Naciśnij przycisk menu i wybierz .
- W panelu przejdź do sekcji Sieć i kliknij przycisk .
- W oknie dialogowym, które się otworzy, przejdź do punktu DNS poprzez HTTPS.
- Włączone: Zaznacz pole wyboru DNS poprzez HTTPS.
- Wybierz dostawcę lub ustaw dostawcę niestandardowego (zobacz poniżej).
- Wyłączone: Odznacz pole wyboru DNS poprzez HTTPS.
- Włączone: Zaznacz pole wyboru DNS poprzez HTTPS.
- Kliknij aby zapisać zmiany oraz zamknąć okno dialogowe.
Zmiana dostawcy serwera DoH
- Z paska menu u góry ekranu wybierz , a następnie lub , w zależności od wersji systemu macOS.Naciśnij przycisk menu i wybierz .
- W panelu przejdź do sekcji Sieć i kliknij przycisk .
- Poniżej DNS poprzez HTTPS kliknij menu rozwijane Dostawca, by wybrać dostawcę z listy.
- Możesz również wybrać Własny adres aby skonfigurować dostawcę niestandardowego.
- Kliknij aby zapisać swoje zmiany oraz zamknąć okno dialogowe.
Wykluczenie określonych domen
Możesz skonfigurować wyjątki tak, aby Firefox używał domyślnego serwera DNS zamiast DoH:
Kontynuuj tylko wtedy, gdy nie masz trudności z zaawansowanymi ustawieniami i rozumiesz ich potencjalny skutek.
- Wpisz about:config w pasku adresu i wciśnij klawisz EnterReturn.
Może wyświetlić się strona z ostrzeżeniem. Naciśnij przycisk , aby przejść na stronę about:config. - Wyszukaj preferencję network.trr.excluded-domains.
- Naciśnij przycisk Edycja po prawej stronie tej preferencji.
- Dodaj domeny, rozdzielone przecinkami, do listy, i kliknij przycisk potwierdzenia aby zapisać zmiany.
Uwaga o subdomenach: Firefox wykluczy wszystkie domeny wymienione w network.trr.excluded-domains i ich subdomeny. Na przykład, jeśli wpiszesz example.com, Firefox wykluczy również www.example.com.
Jak skonfigurować sieć, by zablokować DoH
- Konfigurowanie sieci w celu wyłączenia DNS poprzez HTTPS
- DNS poprzez HTTPS (DoH) - Często zadawane pytania
Encrypted Client Hello (ECH)
W wersji 118, wprowadzamy istotną funkcję bezpieczeństwa: Encrypted Client Hello (ECH). Jej podstawową rolą jest wzmocnienie bezpieczeństwa początkowego połączenia podczas interakcji online. ECH, w połączeniu z DNS poprzez HTTPS (DoH), zwiększa bezpieczeństwo przeglądania:
- DoH jako warunek wstępny: W implementacji Firefoksa, ECH wymaga DoH, aby pobrać niezbędne klucze szyfrowania dla handshake'u. Bez aktywacji DoH, ECH nie może działać.
- Synergiczna ochrona: DoH działa poprzez szyfrowanie zapytań DNS, skutecznie chroniąc konwersję nazw witryn internetowych na adresy IP. Z drugiej strony, ECH koncentruje się na szyfrowaniu początkowych wymian między użytkownikiem a stroną internetową. Razem stanowią one kompleksową ochronę przed wieloma zagrożeniami internetowymi.
- Zwiększona ochrona: Po włączeniu zarówno ECH, jak i DoH, użytkownicy zyskują ulepszoną podwójną warstwę prywatności, zmniejszając potencjalne luki w zabezpieczeniach i zwiększając dyskrecję online.
Upewnij się, że DoH jest włączony w Firefoksie, aby w pełni skorzystać z ulepszeń bezpieczeństwa zapewnianych przez ECH. Aby uzyskać szczegółowe informacje, przeczytaj Opis mechanizmu Encrypted Client Hello (ECH) i Encrypted Client Hello (ECH) - Często zadawane pytania.