Firefox DNS через HTTPS

У цій статті описано DNS через HTTPS і те, як увімкнути, змінити налаштування або вимкнути цю функцію.

Про DNS через HTTPS

Коли ви вводите вебадресу або доменне ім’я у свій адресний рядок (наприклад: www.mozilla.org), ваш браузер надсилає запит через Інтернет, щоб знайти IP-адресу для цього вебсайту. Традиційно цей запит надсилається серверам через звичайне текстове з'єднання. Це з’єднання не зашифроване, що полегшує стороннім користувачам бачити, до якого вебсайту ви отримуєте доступ.

DNS через HTTPS (DoH) працює інакше. Він надсилає введене вами доменне ім'я на DoH-сумісний DNS-сервер, використовуючи зашифроване з'єднання HTTPS замість простого текстового. Це запобігає стороннім особам бачити, до яких вебсайтів ви намагаєтесь отримати доступ.

Переваги

DoH покращує приватність, приховуючи пошук доменних імен від когось, хто нишпорить в загальнодоступних мережах Wi-Fi, вашого Інтернет-провайдера чи будь-кого іншого у вашій локальній мережі. Увімкнений DoH гарантує, що ваш Інтернет-провайдер не може збирати та продавати особисті дані, пов’язані з вашими діями в Інтернеті.

Ризики

  • Деякі особи та організації покладаються на DNS для блокування зловмисних програм, батьківського контролю або фільтрації доступу вашого браузера до вебсайтів. Коли DoH увімкнено, він обходить ваш локальний DNS-розподілювач і примусово перевизначає ці спеціальні політики. Типове увімкнення DoH в Firefox дозволяє користувачам (через налаштування) та організаціям (через корпоративну політику та стеження за canary-доменами) відключати DoH, коли він перешкоджає бажаній політиці.
  • Коли DoH увімкнено, Firefox типово направляє запити DoH на сервери DNS довірених партнерів, які мають можливість бачити запити користувачів. Mozilla має чітку Політику довіреного рекурсивного розв'язання (TRR), яка забороняє нашим партнерам збирати особисту інформацію. Щоб пом'якшити цей ризик, наші партнери зобов’язані за контрактом дотримуватися цієї політики.
  • DoH може працювати повільніше, ніж традиційні DNS, але при тестуванні ми виявили, що вплив мінімальний, а в багатьох випадках DoH є швидшим.

Про наші розгортання DNS через HTTPS

Ми завершили розгортання DNS через HTTPS тиовим для всіх користувачів Firefox настільних комп’ютерів у Сполучених Штатах у 2019 році та для всіх користувачів Firefox настільних комп’ютерів у Канаді в 2021 році. Типово ми почали впроваджувати Firefox для користувачів настільних комп’ютерів у Росії та Україні в березні 2022 року. У цей час ми працюємо над розгортанням DOH у більшості країн. Поки ми це робимо, DOH увімкнено для користувачів у «резервному» режимі. Наприклад, якщо пошук доменних імен, які використовують DoH, з якоїсь причини вийшов з ладу, Firefox використає "резервний" типовий DNS, налаштований операційною системою (ОС), замість показу помилки.

Відмова

Якщо ви вже користуєтеся Firefox у локалях, де ми розгорнули увімкнення DoH з коробки, ви отримаєте сповіщення у Firefox за першого увімкнення DoH, що дасть змогу обрати можливість не використовувати DoH, а натомість продовжувати застосовувати стандартний DNS-розподілювач ОС.

OptIn_Infobar

Крім того, Firefox перевірятиме наявність певних функцій, на які може вплинути увімкнення DoH, зокрема:

  • Чи увімкнено батьківський контроль?
  • Чи сервер DNS типово фільтрує потенційно зловмисний вміст?
  • Чи пристроєм керує організація, яка може мати спеціальну конфігурацію DNS?

Якщо будь-який з цих тестів визначить, що DoH може перешкоджати функції, DoH не буде ввімкнено. Ці тести запускатимуться щоразу при під'єднанні пристрою до іншої мережі.

Увімкнення, вимкнення та налаштування DNS через HTTPS

Читайте статтю Configure DNS over HTTPS protection levels in Firefox.

Ручне увімкнення та вимкнення DNS-over-HTTPS

Ви можете увімкнути або вимкнути DoH у Налаштуваннях з'єднання Firefox:

  1. На панелі меню вгорі екрана клацніть Firefox, а потім виберіть Налаштування.Клацніть кнопку меню Fx89menuButton та виберіть Налаштування.
  2. На панелі Загальні перейдіть вниз до Налаштування мережі та клацніть Налаштування….
  3. У діалоговому вікні, що відкриється, гортайте вниз до Увімкнути DNS через HTTPS.
    • Увімкнути: Позначте прапорцем Увімкнути DNS через HTTPS.
      Виберіть запропонованого постачальника послуг або встановіть власного (докладніше тут).
    • Вимкнути: Приберіть прапорець біля Увімкнути DNS через HTTPS.
    DoH_Enable-ukFx111DoH_Enable
  4. Клацніть кнопку Гаразд, щоб зберегти зміни та закрити вікно.

Зміна постачальників послуг

  1. На панелі меню вгорі екрана клацніть Firefox, а потім виберіть Налаштування.Клацніть кнопку меню Fx89menuButton та виберіть Налаштування.
  2. На панелі загалльні перейдіть униз до Налаштування мережі та натисніть кнопку Налаштувати…
  3. Клацніть спадне меню Використовувати провайдера під Увімкнути DNS через HTTPS для вибору постачальника у списку.
    DoH_Provider-ukFx111DoH_Provider
  4. Ви також можете вибрати Custom, щоб налаштувати власного постачальника.
    Fx99DoH_Custom_Provider
  5. Клацніть кнопку Гаразд для збереження змін та закрийте вікно.

Винятки для певних доменів

Ви можете налаштувати винятки таким чином, щоб Firefox використовував розподілювач ОС замість DoH:

Увага: Зміна розширених налаштувань може вплинути на стабільність та безпеку Firefox. Це рекомендовано лише для досвідчених користувачів.

  1. Введіть about:config у панелі адреси та натисніть EnterReturn.
    Може з'явитися сторінка з попередженням. Виберіть Погодитись на ризик і продовжити для переходу на сторінку about:config.
  2. Знайдіть параметр network.trr.excluded-domains.
  3. Натисніть кнопку Змінити Fx71aboutconfig-EditButton навпроти параметра.
  4. Додайте до списку домени, відокремлені комами, та натисніть прапорець Fx71aboutconfig-Checkmark, щоб зберегти зміни.
Не вилучайте жодних доменів з переліку.

Про піддомени: Firefox перевірить усі домени, які ви вказали в network.trr.excluded-domains та їхні піддомени. Наприклад, якщо ви введете example.com, Firefox також зробить виняток для http://www.example.com.

Налаштування мереж для вимкнення DoH

Encrypted Client Hello (ECH)

У Firefox версії 118, ми впроваджуємо важливу функцію безпеки: Encrypted Client Hello (ECH). Його основна роль полягає в посиленні безпеки початкового з'єднання, яке відбувається під час онлайн-взаємодії. ECH у поєднанні з DNS через HTTPS (DoH) підвищує безпеку вебперегляду на новий рівень:

  • DoH як обов'язкова умова: В реалізації Firefox, ECH покладається на DoH для отримання необхідних ключів шифрування для рукостискання. Без увімкненого DoH ECH не може працювати.
  • Синергетичний захист: DoH працює шляхом шифрування DNS-запитів, ефективно захищаючи перетворення назв вебсайтів на IP-адреси. З іншого боку, ECH зосереджується на шифруванні початкових обмінів між користувачем і вебсайтом. Разом вони забезпечують комплексний захист від багатьох онлайн-загроз.
  • Розширений захист: Увімкнувши ECH та DoH, користувачі отримують посилений подвійний рівень приватності, зменшуючи потенційні вразливості та посилюючи свободу дій онлайн.

Переконайтеся, що DoH увімкнено у Firefox, щоб повною мірою скористатися всіма перевагами вдосконалень безпеки, які надає ECH. Для більш детальної інформації перегляньте Роз'яснення функції Encrypted Client Hello (ECH) і Encrypted Client Hello (ECH): часті питання (ЧаП).

Ця стаття допомогла?

Зачекайте...

Цю статтю допомогли написати такі чудові люди:

Artem Polivanchuk, Ihor Hordiichuk, Fabi
Illustration of hands

Станьте волонтером

Примножуйте ваші знання та діліться ними з іншими. Відповідайте на запитання та поповнюйте нашу базу знань.

Докладніше