Американские пользователи Firefox получают зашифрованные DNS-запросы сегодня или в течение нескольких недель.

Джон Бродкин. 25 февраля 2020 11:00 UTC

Firefox начнет переключать пользователей браузера на службу шифрованного DNS Cloudflare сегодня и в ближайшие недели развернет изменения в Соединенных Штатах.

"Сегодня Firefox начал развертывание зашифрованного DNS по HTTPS (DoH) по умолчанию для пользователей из США," Производитель Firefox Mozilla заявил в объявлении, которое должно выйти в эфир по этой ссылке во вторник утром. "Развертывание будет продолжено в течение следующих нескольких недель, чтобы подтвердить отсутствие серьезных проблем, поскольку этот новый протокол включен для пользователей Firefox из США."

DNS over HTTPS помогает не дать подслушивающим лицам увидеть, какие DNS-запросы выполняет ваш браузер, что может затруднить для интернет-провайдеров или других третьих лиц мониторинг того, какие веб-сайты вы посещаете. Как мы уже писали ранее, использование Mozilla DNS поверх HTTPS частично вызвано обеспокоенностью по поводу того, что интернет-провайдеры следят за использованием Интернета пользователями. Провайдеры мобильной широкополосной связи были пойманы на продаже данных о местонахождении своих клиентов третьим сторонам, а интернет-провайдеры могут использовать историю просмотров для показа целевой рекламы.

Поставщики беспроводного и проводного Интернета предъявляют иск штату Мэн за прекращение действия закона о конфиденциальности при просмотре веб-страниц, в соответствии с которым интернет-провайдеры должны получать согласие клиентов перед использованием или распространением истории просмотров и других конфиденциальных данных. Телекоммуникационные компании уже убедили Конгресс и президента Трампа отменить аналогичный федеральный закон в 2017 году.

Интернет-провайдеры опротестовали планы зашифрованных DNS

Mozilla не остановила кампанию лоббирования в индустрии широкополосной связи против зашифрованного DNS. Лоббирование интернет-провайдерами нацелено на план Google в отношении браузера Chrome, хотя Firefox развертывает DNS через HTTPS более агрессивно.

Поскольку пользователи веб-сайтов уже активно отслеживаются такими компаниями, как Google и Facebook, Mozilla заявляет, что использует DNS через HTTPS, потому что "мы не хотим, чтобы эта бизнес-модель дублировалась в середине сети" и "это просто ошибка. использовать DNS для этих целей."

"Сегодня мы знаем, что незашифрованный DNS не только уязвим для шпионажа, но и используется, и поэтому мы помогаем Интернету перейти на более безопасные альтернативы," Mozilla сказал в своем объявлении сегодня. "Мы делаем это, выполняя поиск DNS в зашифрованном соединении HTTPS. Это помогает скрыть историю просмотров от злоумышленников в сети, [и] помогает предотвратить сбор данных третьими лицами в сети, которые связывают ваш компьютер с посещаемыми веб-сайтами."

Хотя зашифрованный DNS Firefox по умолчанию использует Cloudflare, пользователи могут изменить его на NextDNS в настройках Firefox или вручную ввести адрес другой службы зашифрованного DNS. Пользователи Firefox также могут отключить новый параметр по умолчанию, если они не хотят использовать какие-либо параметры зашифрованного DNS.

Mozilla заявляет, что она открыта для добавления большего числа поставщиков зашифрованных DNS, если они соответствуют списку требований к конфиденциальности и прозрачности и не блокируют и не фильтруют домены по умолчанию "если иное не требуется законом в юрисдикции, в которой работает распознаватель."

Mozilla не включает зашифрованный DNS автоматически за пределами США. Но пользователи за пределами США и пользователи из США, которые еще не получили новую настройку по умолчанию, могут включить DNS через HTTPS в настройках Firefox. Для этого перейдите в Firefox "Предпочтения," тогда "Общая," прокрутите весь путь до "Настройки сети," щелчок "Настройки," затем нажмите "Включить DNS через HTTPS." После нажатия на это поле вы можете выбрать Cloudflare, выбрать NextDNS или ввести пользовательский сервер. На этой странице Github есть список зашифрованных DNS-серверов.

Зашифрованный DNS не будет включен по умолчанию в некоторых случаях, например, когда Firefox обнаруживает, что корпоративные политики были установлены на устройстве, или когда он обнаруживает наличие родительского контроля. На эти и другие вопросы о том, как DNS over HTTPS работает в Firefox, даются ответы в этом FAQ.

План Google по шифрованию DNS в Chrome, который все еще находится на экспериментальной стадии и не был развернут для всех, немного отличается от плана Mozilla. Вместо того, чтобы автоматически переключать пользователей на DNS-провайдера, выбранного Google, Chrome выбирает того DNS-провайдера, которого выбрал пользователь. Если выбранный пользователем поставщик DNS предлагает зашифрованные запросы и находится в этом списке поставщиков, Chrome автоматически обновляет пользователя до зашифрованной службы этого поставщика DNS. Если выбранного DNS-провайдера нет в списке, Chrome не вносит изменений.

Повышенные комментарии

Я разделяю мнение о преимуществах DoH / DoT в отношении конфиденциальности, но в настоящее время я считаю, что беспокоиться о них не стоит, поскольку эти преимущества не соответствуют обычным случаям использования.

С одной стороны, идея сокрытия ваших DNS-запросов от вашего интернет-провайдера кажется положительной. Ваш интернет-провайдер все еще может прослушивать ваши запросы SNI и видеть, где вы просматриваете, поэтому он не обязательно дает вам какую-то конфиденциальность, но, по крайней мере, затрудняет им шпионить за вами и объединяет ваши DNS-запросы в товарный пакет.

С другой стороны, предоставление всех ваших DNS-запросов в Cloudflare или NextDNS потенциально позволяет Cloudflare или NextDNS. шпионит за вами и объединяет ваши DNS-запросы в товарный пакет. И ваш провайдер все еще может видеть ваши запросы SNI. Таким образом, в некотором смысле, вы потенциально приглашаете больше людей наблюдать за вами, а не меньше.

Я использовал DoH большую часть прошлого года, но есть довольно веский аргумент в пользу того, что вам лучше запускать свой собственный локальный рекурсивный преобразователь с включенной минимизацией qname. Это означает, что ваши DNS-запросы не зашифрованы, но это также означает, что вы сами выполняете весь поиск самостоятельно, что значительно снижает вашу уязвимость к отравлению DNS.

к тому же, я больше не уверен, что есть много пользы от того, чтобы скрывать ваши поиски DNS, если целью этой маскировки является скрытие активности от вашего провайдера. Чуть более 95% сайтов имеют уникальный отпечаток загрузки страницы, и это делает определение того, какой сайт вы посещаете исключительно по IP-адресу, тривиальной задачей независимо от обфускации DNS.

Имея все это в виду, я отказался от DoH / DoT и просто установил unbound в режиме полной рекурсии. Это быстро и прекрасно работает.

Если вы беспокоитесь о защите своей интернет-активности от вашего интернет-провайдера, решение, похоже, не в том, чтобы обойтись с DoH / DoT. Решение заключается в использовании VPN. (Это может создать другие проблемы с конфиденциальностью, например, теперь вы должны доверять своему провайдеру VPN.)