Добавляем безопасность в Firefox

Основано на новости "Firefox 85 перейдёт на ECH для скрытия домена в HTTPS-трафике"

От кого защищаемся - от провайдера, который может

1. Ограничивать трафик на определенные хосты по содержианию пакета ClientHello или по DNS-адресу.

2. Читать и запоминать, на какие сайты вы ходите.

Эта защита на уровне браузера. Рекомендуетися использовать DNS через TLS, как настроить кеширующий DNS-сервер с поддержкой TLS на Ubuntu я написал тут

Итак, 4 настройки в браузере. Первые 3 делаются в меню "Options" ("Параметры")

1. Включаем HTTPS для всего трафика. В Интернете подавляющее большинство сайтов поддерживают протокол HTTPS. Но вот в локальной сети компании могут быть устаревшие сайты. Если какой-то сайт перестал открываться, вернитесь в эту настройку. 

Выбираем слева раздел Privacy and Security, справа в самом низу окна настроек "HTTP-Only Mode". Самый безопасный вариант - "Enable HTTPS-Only Mode in all windows"

2. Включаем DNS через TLS для браузера. Слева раздел General, справа в самом  внизу пункт "Network Settings"

 

Далее внизу нового диалогового окна  поставить галочку напротив "Enable DNS over HTTPS". В ставшем активном выпадающем списке можно выбрать провайдера, например, CloudFlare или ввести настройки самому (Custom)

 

 

3. Защита от трекеров. К провайдерам отношения не имеет. Скорее вы скрываете лишнюю информацию от самих сайтов.

4. И, наконец, нововведение. Доступно в версии 85 (включая бета-версию). Включение ECH (Encrypted Client Hello). Кратко из статьи:

Спецификация ECH продолжает развитие ESNI и находится на стадии черновика, претендующего на роль стандарта IETF. Для организации работы на одном IP-адресе нескольких HTTPS-сайтов в своё время было разработано TLS-расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет добиться полной конфиденциальности при применении HTTPS. 

<... >

В ответ на потребность в шифровании параметров любых TLS-расширений был предложен универсальный механизм ECH, главное отличие которого от ESNI в том, что вместо отдельного поля шифруется всё сообщение ClientHello. ECH подразумевает наличие двух типов сообщений ClientHello - шифрованное сообщение ClientHelloInner и незашифрованное базовое сообщение ClientHelloOuter. Если сервер поддерживает ECH и смог расшифровать ClientHelloInner, то он продолжает использовать данный тип для TLS-сеанса. В противном случае берутся данных из ClientHelloOuter.

В адресной строке браузера Firefox набираем about:config и наживаем Ввод. В строке  поиска (см. рисунок) набираем "network.dns":

В списке находим два параметра: "network.dns.echconfig.enabled" и "network.dns.use_https_rr_as_altsvc". Если сделать двойной щелчок, то значение сменится на противоположенное. Нам надо для обоих поставить True. После изменений перезагрузить браузер.

На сегодня всё.