В этой статье даётся определение DNS через HTTPS и рассказывается, как включить, изменить настройки или отключить эту функцию.
Оглавление
- 1 О DNS через HTTPS
- 2 Преимущества
- 3 Риски
- 4 О нашем развёртывании DNS через HTTPS
- 5 Отказ от использования
- 6 Включение, отключение и настройка DNS через HTTPS
- 7 Включение и отключение DNS через HTTPS вручную
- 8 Переключение провайдеров
- 9 Исключение отдельных доменов
- 10 Настройка сетей для отключения DoH
- 11 Encrypted Client Hello (ECH)
О DNS через HTTPS
Когда вы вводите веб-адрес или доменное имя в адресную строку (например, www.mozilla.org), ваш браузер отправляет запрос через Интернет для поиска IP-адреса этого веб-сайта. Традиционно этот запрос отправляется на серверы посредством простого текстового соединения. Это соединение не шифруется, позволяя посторонним видеть, какой веб-сайт вы собираетесь посетить.
DNS через HTTPS (DoH) работает иначе. Он отправляет доменное имя, которое вы ввели, на DNS-сервер, совместимый с DoH, с помощью зашифрованного HTTPS-соединения вместо простого текста. Это предотвращает доступ посторонних к информации о том, какие веб-сайты вы собираетесь посетить.
Преимущества
DoH повышает уровень приватности, скрывая запросы по доменным именам от пользователей публичной сети Wi-Fi, вашего провайдера или других пользователей в вашей локальной сети. Когда DoH включён, вы можете быть уверенными, что ваш интернет-провайдер не может собирать и продавать персональную информацию, связанную с вашим поведением в Интернете.
Риски
- Некоторые люди и организации полагаются на DNS в блокировке вредоносных программ, работе родительского контроля или фильтрации доступа браузера к веб-сайтам. Когда DoH включён, он обходит ваш DNS-преобразователь и нарушает эти специальные политики. При включении DoH по умолчанию, Firefox позволяет пользователям (через настройки) и организациям (через корпоративные политики и запросы к canary доменам) отключать DoH, когда он препятствует предпочитаемой политике.
- Когда DoH включён, Firefox по умолчанию направляет DoH-запросы на DNS-сервера, управляемые доверенным партнёром, который имеет возможность видеть запросы пользователей. В Mozilla действует строгая политика Проверенных рекурсивных преобразователей (TRR), которая запрещает нашим партнёрам собирать персональные данные. Чтобы снизить риск сбора такой информации, наши партнёры обязаны подписать договор, закрепляющий соответствие этой политике.
- DoH может работать медленнее традиционных DNS-запросов, однако тестирование показало, что разница минимальна, а во многих случаях DoH быстрее.
О нашем развёртывании DNS через HTTPS
В 2019 году мы завершили развёртывание DoH по умолчанию для всех пользователей Firefox для компьютера в Соединённых Штатах и в 2021 году — для всех пользователей Firefox для компьютера в Канаде. Мы начали развёртывание по умолчанию для пользователей Firefox на ПК в России и Украине в марте 2022 года. Сейчас мы работаем над развёртыванием DoH в большем числе стран. Заметьте, что DoH включён для пользователей в режиме «резервирования». Это значит, что, например, если поиск по доменному имени с помощью DoH по какой-либо причине окажется неудачным, Firefox будет возвращаться к использованию DNS по умолчанию, сконфигурированному вашей операционной системой (ОС), вместо отображения ошибки.
Отказ от использования
Если вы являетесь действующим пользователем Firefox в стране, где мы развернули DoH по умолчанию, вы получите уведомление в Firefox, когда и если DoH будет задействован впервые, что позволит вам отказаться от использования DoH и вместо этого продолжить использование DNS-преобразователя ОС по умолчанию.
Кроме того, Firefox будет проверять определённые функции, которые могут быть затронуты при включении DoH, в частности:
- Включён ли родительский контроль?
- Фильтрует ли DNS-сервер по умолчанию потенциально вредоносное содержимое?
- Управляется ли устройство организацией, использующей особую конфигурацию DNS?
Если какой-либо из этих тестов определит, что DoH может мешать работе данных функций, DoH не будет включён. Эти тесты будут запускаться каждый раз, когда устройство будет подключается к новой сети.
Включение, отключение и настройка DNS через HTTPS
Прочитайте статью Настройка уровней защиты DNS через HTTPS в Firefox.
Включение и отключение DNS через HTTPS вручную
Вы можете включить или отключить DoH в параметрах соединения Firefox:
- На Панели меню в верхней части экрана нажмите и затем выберите или в зависимости от вашей версии macOS.Нажмите кнопку меню и выберите .
- В разделе прокрутите вниз до пункта «Параметры сети» и нажмите .
- В открывшемся диалоговом окне прокрутите до пункта «Включить DNS через HTTPS».
- Включить: поставьте флажок «Включить DNS через HTTPS».
- Выберите или настройте пользовательского поставщика (см. ниже).
- Выключить: снимите флажок «Включить DNS через HTTPS».
- Включить: поставьте флажок «Включить DNS через HTTPS».
- Нажмите , чтобы сохранить изменения и закрыть окно.
Переключение провайдеров
- На Панели меню в верхней части экрана нажмите и затем выберите или в зависимости от вашей версии macOS.Нажмите кнопку меню и выберите .
- В разделе «Основные» прокрутите вниз до пункта «Параметры сети» и нажмите .
- Откройте выпадающее меню «Используемый провайдер» под пунктом «Включить DNS через HTTPS», чтобы выбрать провайдера.
- Вы также можете выбрать Другой URL, чтобы установить собственного провайдера.
- Нажмите , чтобы сохранить изменения и закрыть окно.
Исключение отдельных доменов
Вы можете настроить исключения, для которых Firefox будет использовать преобразователь вашей ОС вместо DoH:
Продолжайте только в том случае, если вы владеете работой с расширенными настройками и понимаете возможные последствия.
- Введите about:config в адресной строке и нажмите EnterReturn.
Может появиться страница с предупреждением. Нажмите , чтобы перейти на страницу about:config. - Найдите параметр network.trr.excluded-domains.
- Нажмите кнопку Изменить рядом с параметром.
- Добавьте домены, разделённые запятыми, в список и нажмите на флажок , чтобы сохранить изменения.
О дочерних доменах: Firefox будет проверять все домены, которые вы перечислили в network.trr.excluded-domains, и соответствующие им дочерние домены. Например, если вы введёте example.com, Firefox также исключит и www.example.com.
Настройка сетей для отключения DoH
Encrypted Client Hello (ECH)
Начиная с Firefox версии 118, мы развёртываем важную функцию безопасности: Encrypted Client Hello (ECH). Его главная роль - повысить безопасность первоначального "рукопожатия" при подключении во время онлайн-взаимодействия. ECH в сочетании с DNS через HTTPS (DoH) повышает безопасность просмотра на ступеньку выше:
- Требование DoH: В реализации Firefox ECH полагается на DoH для получения необходимых ключей шифрования для "рукопожатия". Без включенного DoH ECH не может работать.
- Синергетическая защита: DoH работает, шифруя DNS-запросы, эффективно защищая преобразование названий веб-сайтов в IP-адреса. С другой стороны, ECH акцентируется на шифровании С другой стороны, ECH фокусируется на шифровании первоначального обмена данными между пользователем и веб-сайтом. Вместе они обеспечивают комплексную защиту от многих онлайн-угроз.
- Улучшенная защита: При включенных ECH и DoH пользователи получают расширенный двухуровневый уровень конфиденциальности, уменьшающий потенциальные уязвимости и повышающий конфиденциальность в режиме онлайн.
Убедитесь, что DoH включен в Firefox, чтобы в полной мере воспользоваться улучшениями безопасности, предоставляемыми ECH. Для углубленного понимания прочитайте статьи Что нужно знать об Encrypted Client Hello (ECH) и Encrypted Client Hello (ECH): часто задаваемые вопросы.