Настройка сетей для отключения DNS через HTTPS

Мы в Mozilla убеждены, что DNS через HTTPS (DoH) — функция, которую каждый должен использовать для повышения своей приватности. Шифруя DNS-запросы, DoH скрывает ваши данные о посещении сайтов ото всех, кто находится между вами и вашим сервером имён. Например, использование стандартных DNS-запросов в публичной сети может потенциально раскрыть информацию о каждом посещаемом вами веб-сайте другим пользователям сети, а также оператору сети.
Несмотря на то что мы рекомендуем использовать DoH, мы также признаём, что существуют сети, в которых применение DoH может быть нежелательным. К ним относятся:

  • Сети, в которых осуществляется какая-либо фильтрация посредством DNS-преобразователя по умолчанию. Благодаря этому возможна реализация родительского контроля или блокировка доступа к вредоносным веб-сайтам.
  • Сети, отвечающие на приватные имена и/или предоставляющие ответы, отличные от общедоступных. Например, компания может поделиться адресом приложения, используемого сотрудниками, только в своей внутренней сети.

Сети могут подавать сигналы Firefox о том, что существуют специальные функции, подобные этим, которые были бы отключены в случае использования DoH для разрешения доменных имён. Проверка этого сигнала будет работать в Firefox, когда DoH включён для пользователей по умолчанию. Осенью 2019 года доступ к этой функции получили пользователи из США, летом 2021 года — пользователи из Канады и в марте 2022 года — пользователи из России и Украины. Если пользователь включит DoH вручную, сигнал из сети будет проигнорирован, а предпочтения пользователя будут учтены.

Администраторы сетей могут сконфигурировать свои сети таким образом, чтобы обрабатывать DNS-запросы для канареечных доменов по-другому, сигнализируя о том, что на их локальном DNS-преобразователе работают специальные функции, которые делают такую сеть неподходящей для DoH.

В дополнение к сигналу на основе канареечного домена, описанному выше, Firefox будет совершать некоторые проверки для функций сетей, несовместимых с DoH, до включения его для пользователя. Эти проверки будут проводиться при запуске браузера, а также каждый раз, когда браузер будет определять, что он был перемещён в другую сеть, например когда ноутбук используется дома, на работе или в кафе. Когда любая из этих проверок будет сообщать о потенциальной проблеме, Firefox будет отключать DoH до окончания сетевого сеанса, если только пользователь не включит настройку «всегда использовать DoH», как указывалось выше.
Дополнительные проверки, которые будут проводиться для фильтрации содержимого, включают в себя:

  • Разрешение канареечных доменов определённых известных DNS-провайдеров для определения фильтрации содержимого.
  • Разрешение вариантов «безопасного поиска» google.com и youtube.com, чтобы определить, не перенаправляет ли сеть на них.
  • На Windows и macOS — определение родительского контроля, включённого в операционной системе.

Дополнительные проверки, которые будут производиться для частных «корпоративных» сетей:

Оцените статью
Добавить комментарий