Você está apenas começando a conhecer DNS sobre HTTPS? (em inglês, DNS over HTTPS - DoH) Não se preocupe! Selecionamos uma lista de perguntas frequentes que você pode achar útil enquanto se atualiza com tudo o que o DoH tem a oferecer. Consulte informações adicionais em DNS sobre HTTPS no Firefox.

Como funciona o DNS sobre HTTPS para usuários do Firefox com base nos EUA

Qual é a política de privacidade do DNS sobre HTTPS?

Implementar DoH é parte de nosso trabalho para proteger os usuários do pervasivo rastreamento online de dados pessoais. Para fazer isso, a Mozilla exige que todos os provedores de DNS que podem ser selecionados no Firefox estejam em conformidade com nossa política de resolvedor através de um contrato de vínculo jurídico. Essas exigências estipulam limites rigorosos sobre o tipo de dado que pode ser retido, o que o provedor pode fazer com esses dados e por quanto tempo ele pode guardar. Esta política rigorosa destina-se a proteger os usuários da capacidade de provedores de coletar e monetizar suas informações.

Os usuários serão avisados quando isso for ativado e será oferecida uma opção de não usar?

Sim, uma caixa de mensagem será exibida e não desaparecerá até que o usuário tome uma decisão de ativar ou desativar as proteções de privacidade de DNS.

Os usuários podem desativar o DoH?

Sim, eles podem desativar o DoH em Opções/Preferências > Geral > Configurações de rede. Podem desativar o DoH e/ou selecionar seu próprio provedor de DoH, conforme explicado aqui.

Os usuários podem optar antecipadamente por não usar?

Sim, pode-se configurar manualmente network.trr.mode com valor 5 em about:config. Informações adicionais sobre os modos podem ser encontradas aqui.

Como o DoH pode impactar empresas com soluções personalizadas de DNS?

Facilitamos às empresas desativar este recurso. Além disso, o Firefox detecta se políticas empresariais foram definidas no dispositivo, desativando o DoH nessas circunstâncias. Se você é um administrador de sistemas interessado em aprender como configurar políticas empresariais, consulte a documentação.

Como o DoH pode impactar no controles dos pais?

Sabemos que alguns provedores de internet usam DNS para oferecer serviços de controles dos pais, que bloqueiam conteúdo adulto. Na opinião da Mozilla, DNS não é a melhor abordagem para usar controle dos pais, mas também não queremos atrapalhar serviços existentes, por isso verificamos uma série de domínios canary antes de ativar o DoH. Caso esses domínios indiquem que controles dos pais estão ativados, então desativamos o DoH. Consulte informações adicionais em https://blog.mozilla.org/futurereleases/2019/09/06/whats-next-in-making-dns-over-https-the-default/.

Redes não podem simplesmente disparar a verificação de domínio canary o tempo todo e desativar o DoH?

Sim, usar domínios canary é uma solução que oferece a melhor segurança para combater invasores de redes e evitar quebrar implantações existentes. Estamos monitorando seu uso, investigando quaisquer incidentes de abuso e estudando medidas para conter tais incidentes.

O DoH afetará Redes de Distribuição de Conteúdo (CDNs)?

Estamos cientes que algumas CDNs (Content Delivery Networks, ou Redes de Distribuição de Conteúdo) usam direcionamento de tráfego baseado em DNS, que pode ser afetado pelo DoH. No entanto, nossas medições mostram que os tempos de carregamento de páginas com DoH são competitivos, comparados com tempos de carregamento de páginas com DNS comum. Durante e após o período de lançamento, estaremos monitorando o desempenho do Firefox para ver se existe qualquer defeito.

Como o Firefox lida com DNS split-horizon?

Se o Firefox falhar em resolver um domínio via DoH, ele usa de volta o DNS. Significa que qualquer domínio que esteja disponível somente no DNS comum (por não ser público) será resolvido desse modo. Se você tem um domínio que pode ser resolvido publicamente, mas internamente é resolvido diferente, então deve usar configurações empresariais para desativar o DoH.

O DNSSEC é validado?

O DNSSEC garante que respostas de DNS não tenham sido adulteradas durante o trânsito, mas não criptografa solicitações e respostas de DNS. Priorizamos a criptografia de DNS usando DoH para proteger a privacidade do usuário. Estamos considerando a implementação de DNSSEC no futuro.

A Cloudflare efetua validação de DNSSEC em consultas que o Firefox envia a seu resolvedor de DoH. No entanto, isso não garante integridade de ponta a ponta de dados de DNS. No momento estamos lançando o DoH em modo "fallback", o que significa que qualquer erro retornado pelo resolvedor da Cloudflare, como uma falha de validação de DNSSEC, faz o Firefox tentar a consulta novamente usando o resolvedor do sistema operacional, em vez de retornar um erro para o usuário.

Parcerias de DNS sobre HTTPS

Que resolvedores o Firefox usará?

Nosso lançamento inicial, somente nos EUA, designa a Cloudflare como resolvedor padrão. Como alternativa, os usuários podem escolher de uma lista de provedores adicionais em nosso programa Trusted Recursive Resolver (resolvedor recursivo confiável), que exige conformidade com nossas exigências de políticas relativas a privacidade e segurança dos usuários. Aos poucos esperamos adicionar mais provedores ao nosso programa Trusted Recursive Resolver. Além disso, nossa visão é que o DoH venha a ser adotado universalmente e suportado por todos os resolvedores de DNS.

Como a Mozilla escolheu a Cloudflare como um resolvedor confiável?

A Cloudflare foi capaz de atender as rigorosas exigências de políticas que estabelecemos no momento. Essas exigências estão respaldadas em nosso contrato de vínculo jurídico com a Cloudflare e foram tornadas públicas em um aviso de privacidade de primeira linha que documenta essas políticas e fornece transparência aos usuários.

A Mozilla está sendo paga para rotear solicitações de DNS para a Cloudflare?

Nenhuma transação monetária está sendo feita para rotear solicitações de DNS para a Cloudflare.

A Mozilla ou a Cloudflare monetizam esses dados?

Não, nossa política proíbe explicitamente monetizar esses dados. Nosso objetivo com este recurso é fornecer proteções de privacidade importantes para nossos usuários e dificultar aos resolvedores de DNS existentes monetizar dados de DNS dos usuários.

Mais informações sobre a implementação do DNS sobre HTTPS no Firefox

Qual é o cronograma de lançamento?

Iniciaremos um lançamento gradual em outubro de 2019, somente nos EUA. Significa começar com uma pequena população de usuários e então lançar gradualmente para todos os usuários, verificando se há problemas ao longo do processo. Consulte mais detalhes sobre o lançamento em https://bugzilla.mozilla.org/show_bug.cgi?id=1573840.

Será lançado agora este padrão na Europa?

Como parte de nossa estratégia contínua de mensurar cuidadosamente os benefícios e o impacto do DoH, no momento o foco é lançar este recurso apenas nos EUA.

Por que o Firefox está implementando DoH e não DoT?

A IETF (Internet Engineering Task Force) padronizou dois protocolos de transporte seguro sobre DNS: DNS-over-TLS (DoT) e DNS-over-HTTPS (DoH). Esses dois protocolos têm propriedades de segurança e privacidade amplamente similares. Escolhemos DoH porque acreditamos ser mais adequado ao conjunto de redes de comunicação dos navegadores maduros existentes (cujo foco é HTTP) e fornece melhor suporte a futuros recursos de protocolo, como multiplexação de HTTP/DNS e QUIC.

O DoT é mais fácil para operadores de rede detectar e bloquear?

Sim, mas não pensamos que isto seja uma vantagem. O Firefox fornece mecanismos para operadores de rede sinalizar que eles têm razões legítimas para que o DoH seja desativado. Não acreditamos que bloquear a conexão com o resolvedor seja uma resposta apropriada.

O Server Name Indication (SNI) não vaza nomes de domínios de qualquer maneira?

Sim, embora nem todos os nomes de domínio sejam vazados através de SNI. Nos preocupamos com vazamentos de SNI e começamos a trabalhar em SNI criptografado.