company_banner

Firefox включил DNS-шифрование по умолчанию у американских пользователей



    Вчера Mozilla включила DNS-шифрование по умолчанию у американских пользователей. Инфраструктура будет нагружаться постепенно, а полное развёртывание функции займёт около двух недель.

    Разработанный Mozilla, Google и Cloudflare протокол DNS-over-HTTPS (DoH) сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет «слабое звено» в HTTPS — открытые DNS-запросы, по которым сейчас злоумышленник может отслеживать содержимое DNS-пакетов и даже подменять их.

    Вкратце, DoH инкапсулирует DNS-запросы в пакеты HTTPS, превращая их в обычный зашифрованный веб-трафик. Запросы отправляются как HTTP POST или GET с телом в формате сообщения DNS (датаграммы из обычных DNS-запросов) или как запрос HTTP GET в формате JSON. Как и при обычном веб-трафике HTTPS, для подключения через DoH не требуется аутентификация, а сертификат проверяется центром сертификации. Подробнее см. статьи «Как спрятать DNS-запросы от любопытных глаз провайдера» и «DoH в картинках».

    Шифрование DNS-запросов мешает интернет-провайдерам отслеживать действия пользователей в интернете, что провайдеры считают своим конституционным правом.

    Mozilla начала эксперименты с DoH в июне 2018 года и убедилась, что он обеспечивает достаточную производительность, не конфликтуя с настройками родительского контроля и корпоративными политиками (с отключением DoH в случае их обнаружения или в случае других проблем резолвинга DNS).

    Организация сразу заявила, что со временем включит эту функцию по умолчанию для пользователей во всём мире, начиная с США. И вот пошла первая стадия.



    Американским пользователям предлагается выбрать одного из двух доверенных резолверов DoH: Cloudflare или NextDNS.

    Пользователям браузера Firefox за пределами США нужно включить шифрование вручную. Для этого следует зайти в «Настройки» ? «Основные», прокрутить в самый низ до «Параметров сети» и нажать кнопку «Настроить...». Там в самом нижнем пункте нажать галочку «Включить DNS через HTTPS». По умолчанию доступен только один провайдер Cloudflare, но можно добавить другого провайдера вручную.



    Действия Mozillа по шифрованию DNS-запросов вызвали озабоченность в Великобритании, где тоже действует цензура трафика на государственном уровне.

    В июле прошлого года Ассоциация интернет-провайдеров Великобритании (ISPA-UK) назвала организацию Mozilla одним из главных «злодеев интернета». Согласно формулировке ISPA-UK, звание «злодея интернета» Mozilla получила «за предложенный ими подход к внедрению DNS-over-HTTPS таким образом, чтобы обойти британские обязательства по фильтрации и родительскому контролю, подрывая стандарты безопасности интернета в Великобритании».
    ITSumma
    Собираем безумных людей и вместе спасаем интернет

    Комментарии 16

    • НЛО прилетело и опубликовало эту надпись здесь
        0
        73.0.1 x64, заработало без ручной правки конфига.
          0
          У меня все равно тест показывает что encrypted sni не включен.
        0
        Включал у себя, потом выключил, медленнее страницы стали грузиться.
        • НЛО прилетело и опубликовало эту надпись здесь
          0
          На мобильном Firefox это пока не планируется, да?
            0

            about:config всегда выручит.

              0
              У меня там нет ничего про шифрование DNS
              +2

              На андроиде уже есть поддержка DNS over TLS на уровне системы. Можно настроить тот же Cloudflare, и проверка будет проходить даже из хрома.

                0

                Точно!

                  0

                  У меня на Redmi 5 нет никаких упоминаний нигде, или я не там искал..

                  0
                  –1

                  А как должно проявится работает или нет? Ну поставил я галочки как на скринах (у меня кстати 2 провайдера в настройках и клоудфлар и второй, который не помню как его..)
                  Включил и пытаюсь зайти ну хотя бы первый по памяти внесенный в список ркн кинозал — так и не пустило, в чем тогда смысл этого всего? Раз мой пров таки узнал куда я хотел перейти…
                  Пров mgts, gpon, default city

                    0

                    Провайдеры закрывают доступ к запрещенным сайтам не через блокировку dns запросов, поэтому логично, что вам это не помогло.

                    0
                    NextDNS также доступен из коробки

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое