DNS poprzez HTTPS w przeglądarce Firefox

W tym artykule opisano DNS poprzez HTTPS i sposób włączania, edytowania ustawień lub wyłączania tej funkcji.

O usłudze DNS poprzez HTTPS

Po wpisaniu adresu internetowego lub nazwy domeny w pasku adresu (na przykład: www.mozilla.org) przeglądarka wysyła przez Internet prośbę o wyszukanie adresu IP dla tej strony internetowej. Tradycyjnie żądanie to jest wysyłane do serwerów DNS za pośrednictwem zwykłego połączenia tekstowego. Połączenie to nie jest zaszyfrowane, co ułatwia osobom trzecim sprawdzenie, do jakiej strony internetowej masz zamiar uzyskać dostęp.

DNS poprzez HTTPS (DoH) działa inaczej. Wysyła nazwę domeny wpisaną przez użytkownika na serwer DNS kompatybilny z DoH przy użyciu szyfrowanego połączenia HTTPS zamiast połączenia tekstowego. Uniemożliwia to osobom trzecim wgląd w strony internetowe, do których próbujesz uzyskać dostęp.

Korzyści

DoH zwiększa prywatność poprzez ukrywanie wyszukiwań nazw domen przed osobami czającymi się w publicznej sieci Wi-Fi, twoim ISP lub kimkolwiek innym w twojej sieci lokalnej. DoH, gdy jest włączone, zapewnia, że twój ISP nie może zbierać i sprzedawać danych związanych z twoimi zachowaniami podczas przeglądania stron internetowych.

Ryzyka

  • Niektóre osoby i organizacje polegają na systemie DNS w celu blokowania złośliwego oprogramowania, włączania kontroli rodzicielskiej lub filtrowania dostępu przeglądarki do witryn internetowych. Gdy funkcja DoH jest włączona, omija lokalny serwer DNS i łamie te specjalne zasady. Przy domyślnym aktywowaniu DoH, Firefox umożliwi użytkownikom (poprzez ustawienia) i organizacjom (poprzez konfigurację polityk korporacyjnych oraz wyszukiwanie domeny kanarkowej) wyłączenie DoH, gdy zakłóca to preferowaną politykę.
  • Gdy DoH jest włączony, Firefox domyślnie kieruje zapytania DoH do serwerów DNS obsługiwanych przez naszego zaufanego partnera, co oznacza, że ma on możliwość przeglądania zapytań użytkowników. Mozilla posiada silną politykę Trusted Recursive Resolver (TRR), która zabrania naszym partnerom zbierania danych osobowych. Aby zmniejszyć to ryzyko, nasi partnerzy są umownie zobowiązani do przestrzegania tej polityki.
  • DoH może być wolniejsze od tradycyjnych zapytań DNS, ale podczas testów okazało się, że wpływ jest minimalny, a w wielu przypadkach DoH jest szybszy.

O naszym wdrożeniu DNS przez HTTPS

Zakończyliśmy wdrażanie funkcji DoH dla wszystkich użytkowników przeglądarki Firefox na komputery stacjonarne w Stanach Zjednoczonych w 2019 roku, i w Kanadzie w 2021. W marcu 2022 zaczęliśmy wdrażać domyślny DoH w Rosji i w Ukrainie. Obecnie pracujemy nad wprowadzeniem DoH w kolejnych krajach. Aktualnie DoH działa w trybie “zastępczym”. Na przykład, jeśli wyszukiwanie nazwy domeny przez serwer DoH z jakiegoś powodu zawiedzie, Firefox wycofa się i użyje domyślnego DNS skonfigurowanego przez system operacyjny zamiast wyświetlać błąd.

Jak wypisać się z tej funkcji

Jeśli jesteś użytkownikiem Firefoksa w lokalizacjach gdzie domyślnie działa DoH, przed pierwszym uruchomieniem DoH otrzymasz powiadomienie w Firefoksie, które pozwoli ci zrezygnować z włączenia DoH i zamiast tego kontynuować używanie domyślnego resolwera DNS systemu operacyjnego.

OptIn_Infobar

Ponadto Firefox sprawdzi, czy pewne funkcje, na które może mieć wpływ, jeśli funkcja DoH jest włączona, w tym:

  • Czy kontrole rodzicielskie są włączone?
  • Czy domyślny serwer DNS filtruje potencjalnie szkodliwe treści?
  • Czy urządzenie jest zarządzane przez organizację, która może mieć specjalną konfigurację DNS?

Jeśli którykolwiek z tych testów ustali, że DoH może zakłócać działanie funkcji, DoH nie zostanie włączony. Testy te będą przeprowadzane za każdym razem, gdy urządzenie połączy się z inną siecią.

Włączanie, wyłączanie i konfiguracja DNS poprzez HTTPS

Zapoznaj się z artykułem Konfiguracja poziomów ochrony DNS poprzez HTTPS w Firefoksie.

Ręczne włączanie i wyłączanie usługi DNS poprzez HTTPS

Możesz włączyć lub wyłączyć DoH w swoich ustawieniach połączenia internetowego:

  1. Z paska menu u góry ekranu wybierz Firefox, a następnie Preferencje lub Ustawienia, w zależności od wersji systemu macOS.Naciśnij przycisk menu Fx89menuButton i wybierz Ustawienia.
  2. W panelu Ogólne przejdź do sekcji Sieć i kliknij przycisk Ustawienia….
  3. W oknie dialogowym, które się otworzy, przejdź do punktu DNS poprzez HTTPS.
    • Włączone: Zaznacz pole wyboru DNS poprzez HTTPS.
      Wybierz dostawcę lub ustaw dostawcę niestandardowego (zobacz poniżej).
    • Wyłączone: Odznacz pole wyboru DNS poprzez HTTPS.
    DoH_EnableFx111DoH_Enable
  4. Kliknij OK aby zapisać zmiany oraz zamknąć okno dialogowe.

Zmiana dostawcy serwera DoH

  1. Z paska menu u góry ekranu wybierz Firefox, a następnie Preferencje lub Ustawienia, w zależności od wersji systemu macOS.Naciśnij przycisk menu Fx89menuButton i wybierz Ustawienia.
  2. W panelu Ogólne przejdź do sekcji Sieć i kliknij przycisk Ustawienia….
  3. Poniżej DNS poprzez HTTPS kliknij menu rozwijane Dostawca, by wybrać dostawcę z listy.
    DoH_ProviderFx111DoH_Provider
  4. Możesz również wybrać Własny adres aby skonfigurować dostawcę niestandardowego.
    Fx99DoH_Custom_Provider
  5. Kliknij OK aby zapisać swoje zmiany oraz zamknąć okno dialogowe.

Wykluczenie określonych domen

Możesz skonfigurować wyjątki tak, aby Firefox używał domyślnego serwera DNS zamiast DoH:

Ostrzeżenie: Modyfikacja zaawansowanych ustawień może spowodować problemy, takie jak utrata stabilności i wydajności programu Firefox oraz zagrożenie bezpieczeństwa. Zalecane tylko dla zaawansowanych użytkowników.

  1. Wpisz about:config w pasku adresu i wciśnij klawisz EnterReturn.
    Może wyświetlić się strona z ostrzeżeniem. Naciśnij przycisk Akceptuję ryzyko, kontynuuj, aby przejść na stronę about:config.
  2. Wyszukaj preferencję network.trr.excluded-domains.
  3. Naciśnij przycisk Edycja Fx71aboutconfig-EditButton po prawej stronie tej preferencji.
  4. Dodaj domeny, rozdzielone przecinkami, do listy, i kliknij przycisk potwierdzenia Fx71aboutconfig-Checkmark aby zapisać zmiany.
Nie usuwaj żadnych domen z tej listy, jeżeli są.

Uwaga o subdomenach: Firefox wykluczy wszystkie domeny wymienione w network.trr.excluded-domains i ich subdomeny. Na przykład, jeśli wpiszesz example.com, Firefox wykluczy również www.example.com.

Jak skonfigurować sieć, by zablokować DoH

Encrypted Client Hello (ECH)

W wersji 118, wprowadzamy istotną funkcję bezpieczeństwa: Encrypted Client Hello (ECH). Jej podstawową rolą jest wzmocnienie bezpieczeństwa początkowego połączenia podczas interakcji online. ECH, w połączeniu z DNS poprzez HTTPS (DoH), zwiększa bezpieczeństwo przeglądania:

  • DoH jako warunek wstępny: W implementacji Firefoksa, ECH wymaga DoH, aby pobrać niezbędne klucze szyfrowania dla handshake'u. Bez aktywacji DoH, ECH nie może działać.
  • Synergiczna ochrona: DoH działa poprzez szyfrowanie zapytań DNS, skutecznie chroniąc konwersję nazw witryn internetowych na adresy IP. Z drugiej strony, ECH koncentruje się na szyfrowaniu początkowych wymian między użytkownikiem a stroną internetową. Razem stanowią one kompleksową ochronę przed wieloma zagrożeniami internetowymi.
  • Zwiększona ochrona: Po włączeniu zarówno ECH, jak i DoH, użytkownicy zyskują ulepszoną podwójną warstwę prywatności, zmniejszając potencjalne luki w zabezpieczeniach i zwiększając dyskrecję online.

Upewnij się, że DoH jest włączony w Firefoksie, aby w pełni skorzystać z ulepszeń bezpieczeństwa zapewnianych przez ECH. Aby uzyskać szczegółowe informacje, przeczytaj Understand Encrypted Client Hello (ECH) i Encrypted Client Hello (ECH) - Frequently asked questions.

Czy ten artykuł okazał się pomocny?

Proszę czekać…

Osoby, które pomogły w tworzeniu tego artykułu:

TyDraniu
Illustration of hands

Pomóż nam

Zdobywaj wiedzę i dziel się nią z innymi. Odpowiadaj na pytania i ulepsz naszą bazę wiedzy.

Więcej informacji