Mozilla Firefox усложнил регуляторам блокировку «плохих ресурсов»
Заниматься регулированием Интернета пытаются не только в нашей стране и в последнее время это стало уже каким-то трендом. Теперь британская ассоциация интернет‐провайдеров ISPA (The Internet Services Providers Association) взъелась на разработчиков Mozilla из-за внедрения поддержки нового протокола DNS‐over‐HTTPS (DoH) в браузер Firefox.
Дело в том, что в Великобритании закон обязывает интернет‐провайдеров блокировать сайты с материалами, нарушающими авторские права, содержащие экстремистский контент или детское порно. Нам это всё тоже знакомо, только роль линчевателя отдана Роскомнадзору.
Использование нового протокола DNS‐over‐HTTPS (DoH) фактически лишает провайдеров многих привычных инструментов для блокировки «плохих ресурсов», определенных правительством, так как меняется сам принцип отправки DNS‐запросов.
Компьютеры в глобальной сети находят друг друга не по именам, а по IP-адресам. Когда вы хотите посетить тот или иной ресурс и вводите имя сайта в адресную строку, ваш браузер сначала отсылает запрос службе DNS, которая помогает браузеру найти нужный сайт по доменному имени.
Сами DNS запросы и ответы на них передаются от пользователя к серверу в виде простого текста в отрытом виде, никак не шифруясь, и потому легко «прослушиваются». Уже из самого названия стандарта DNS Queries over HTTPS (DNS запросы поверх HTTPS) становится понятно, что их предполагается отправлять через зашифрованное соединение HTTPS. Сам стандарт описан в документе RFC8484.
При таком раскладе, DNS-трафик маскируется под обычный HTTPS и оказываются «невидимы» для сторонних наблюдателей. В случаях, когда блокировка нежелательных ресурсов осуществляется по названиям сайтов, правительственные фильтры и системы родительского контроля обходятся даже без использования VPN.
Чтобы защитить себя от нападок британских провайдеров, в версии Mozilla Firefox для Великобритании по умолчанию будет отключена поддержка протокола DoH. И что-то мне подсказывает, что внедрение нового стандарта DNS‐over‐HTTPS встретит такое же сопротивление и на территории РФ. Впрочем, у нас работают на опережение и уже тестирует глубокую фильтрацию трафика.
Комментариев: 5
Так как включить? В какой версии доступно?
Игорь, Firefox Quantum (64 версия) уже использует Claudflare. Но чтобы включить DNS over HTTPS надо в адресной строке Firefox ввести about:config и изменить значение параметра network.trr.mode на 2 или 3.
"2" - устанавливает технологию DNS over HTTPS по умолчанию, а "3" заставляет браузер использовать только её.
Параметру network.trr.bootstrapAddress поставить значение 1.1.1.1
Проверить работу DNS over HTTPS можно введя в адресную строку Firefox about:networking и выбрать DNS слева в меню.
В столбце TRR будет указано «true» для имен хостов, которые используют DNS-over-HTTPS.
Ещё забыл добавить главное. На рутрекер вы так всё равно не попадёте. Блокировка идёт на уровне провайдера по нашим IP адресам, а не по имени домена.
Никак DNS‐over‐HTTPS не поможет обойти местные (российские) блокировки. Доступен он в лисе уже достаточно давно, включается в обычных настройках, даже глубже (в конфиге) копать не надо. Так что vpn по прежнему наше всё. :)
Упыри всех хотят в клетку засунуть. Запретить и не пущать.
Интересно, а какие DNS-сервера это поддерживают? Не думаю, что слишком много. Тогда РКН может тупо заблокировать доступ к этим серверам.