Как включить DNS over HTTPS в браузере Firefox

dns over https firefox

В июне Mozilla объявила о проведении ограниченного тестирования новой функции DNS over HTTPS (DoH). В начале данное нововведение было внедрено в версию Firefox Nightly, но сейчас присутствует и в стандартной версии браузера. В сегодняшней статье я расскажу вам, о том, что такое DNS over HTTPS, рассмотрим его достоинства и недостатки. А также покажу как включить DNS over HTTPS в Firefox.

Еще по теме: Как отключить телеметрию в Firefox

Что такое DNS over HTTPS?

DNS over HTTPS (DoH) позволяет решить проблему утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров. Он также обеспечивает защиту от MITM-атак и подмены DNS-трафика, позволяет обойти блокировку DNS при работе через прокси или в случае, если сервер по тем или иным причинам заблокирован.

dns ovev https firefox

Технически DoH позволяет инкапсулировать запрос на определение IP-адреса хоста в трафик HTTPS. В этом случае ресолвер обрабатывает запросы через Web API. Таким образом DoH может стать дополнением для DNSSEC, который задействует шифрование для аутентификации клиента и сервера.

DNS over HTTPS и безопасность/приватность

Улучшит ли DoH безопасность и приватность? Да, улучшит, но не сделает его на 100% безопасным и конфиденциальным. И вот почему.

Вспомним, как рекурсивный сервер имен разрешает IP-адрес для сайта. Возьмем для примера наш сайт www.spy-soft.net:

  1. Компьютер пользователя запрашивает один из интернет-корневых серверов:
    Вопрос: «Я хочу посетить сайт www.spy-soft.net вы знаете, где он?»
    Ответ: «Нет, но вот сервер имен для .net. Попробуй там!»
  2. Затем он запрашивает серверы имен .net:
    Вопрос: «Итак, можете ли вы сказать мне IP-адрес www.spy-soft.net?»
    Ответ: «Вы должны спросить сервера имен spy-soft.net».
  3. Наконец, он спрашивает у сервера spy-soft.net:
    Вопрос: «Какой IP-адрес у www.spy-soft.net?»
    Ответ: «IP 123.123.123.123»

В каждом из этих запросов полное DNS-имя отправляется на DNS-сервер. Все эти сервера теперь знают, что вы хотите посетить сайт www.spy-soft.net, что с точки зрения конфиденциальности не очень хорошо. Эта проблема может быть решена с помощью минимизации имени запроса DNS (DNS Query Name Minimization), но есть еще и другие недостатки DoH. Поэтому, полностью полагаться на DoH для обеспечения 100% анонимности нельзя. На сегодняшний день есть решение получше — это хороший Proxy или надежный VPN в связке с DNSCrypt и с защитой от утечки VPN-трафика.

В целом использование технологии DNS over HTTPS (бесплатные DNS Google и CloudFlare) может быть очень даже полезным. Основное преимущество DoH заключается в том, что вы ограничиваете доступ к своим DNS-запросам. Ну, и конечно — это неплохая защита от MITM-атак.

DNS over HTTPS в браузере Mozilla Firefox

Вот что об этом пишет сама Mozilla:

«Наши начальные тесты DoH изучили время, необходимое для получения ответа от DoH CloudFlare. Результаты были очень положительными — самые медленные подключения демонстрируют огромное улучшение производительности. Недавний тест на нашем бета-канале подтвердил, что DoH работает быстро и не вызывает проблем для наших пользователей».

Для тех, кто не был выбран для тестирования новой функции, но все же хочет протестировать реализацию DoH в Firefox, может включить ее вручную, используя приведенную ниже инструкцию.

Как включить DNS over HTTPS в Firefox

Чтобы включить DNS over HTTPS, выполните следующие действия:

  1. Введите about:config в адресной строке Firefox и нажмите Enter. Когда Firefox спросит, нажмите кнопку «Я принимаю на себя риск». Отключение Телеметрии Firefox
  2. В поле поиска введите network.trr.
  3. Дважды нажмите на параметр network.trr.mode, введите значение 2 и нажмите OK, как показано ниже. включение DNS over HTTPS Firefox
  4. Затем нужно убедиться, что для параметра network.trr.uri установлено значение https://mozilla.cloudflare-dns.com/dns-query. настройка DNS over HTTPS Firefox
    Если он не установлен, дважды щелкните на этот параметр и введите адрес.
  5. Теперь вы можете закрыть страницу скрытых настроек Firefox.

Еще по теме: First-Party Isolation — улучшаем приватность в Firefox

Проверка работы DNS over HTTPS

Чтобы проверить, используете ли вы сейчас DoH для разрешения DNS-запросов, вы можете перейти на страницу проверки безопасности браузера CloudFlare и нажать кнопку «Проверить мой браузер». Страница проведет несколько тестов, которые смогут определить, используете ли вы Secure DNS, DNSSEC, TLS 1.3 или зашифрованный SNI.

Если DNS over HTTPS включен, вы увидите зеленую галочку около надписи Secure DNS.

проверка dns over https firefox

С этого момента вы используете DNS сервера Cloudflare вместо DNS провайдера.

Вы также можете использовать другой DNS, например Google DNS. Для этого в network.trr.uri вместо адреса https://mozilla.cloudflare-dns.com/dns-query введите https://dns.google.com/experimental. И измените значение в параметре network.trr.bootstrapAddress с 1.1.1.1 на 8.8.8.8.

DoH — это конечно хорошо. Повышенная конфиденциальность, защита от MITM атак — с одной стороны, но с другой стороны: Google, CloudFlare и Mozilla хотят создать централизованные хранилища DNS запросов. Если сейчас личными данными и историей DNS запросов владеют интернет-провайдеры, то в будущем «все яйца, будут в одной корзине». Google и CloudFlare конечно уверяют что не будут хранить на своих серверах исходные IP-адреса, а логи по DNS не будут храниться более 24 часов, но кто знает, что будет завтра, и что происходит сейчас…

На этом все. Теперь вы знаете немного больше о том, что такое DNS over HTTPS, и как включить данную настройку в браузере Mozilla Firefox. Кстати, если хотите защититься от фишинг-атак прочитайте статью «Как включить IDN Punycode в браузере Firefox».

Оценка DNS over HTTPS

Наша оценка

В некоторых ситуациях очень даже полезная функция улучшающая приватность и безопасность. Наша оценка - нормально!

User Rating: 4.12 ( 19 votes)
ВКонтакте
OK
Telegram
WhatsApp
Viber

5 комментариев

  1. Виталий

    У меня на этом сайте красными остаются DNSSEC и Encrypted SNI. Как их сделать зелёными?

  2. Ив

    Все сделал. После этого мозилла перестал открывать любые сайты (ДНС выбран только клоуд или гугловские). .

  3. Webuser

    «DNSSEC» и «Encrypted SNI» остаются красными.

    Как их включить ?

  4. alex

    Браузер, не получив ответ в течение определенного времени по DoH направляет запрос к системным DNS.
    Какие параметры следует подкрутить?
    network.trr.request_timeout_mode_trronly_ms
    network.trr.request_timeout_ms

  5. alex

    А, понял! Нужно в network.trr.mode поставить 3
    3 — Only. Only use TRR, never use the native resolver.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *