本文由Stephen Pinkerton發佈在cloudflare博客
最近,谷歌正式推出了Android 9 Pie,其中包括圍繞數字便利,安全性和隱私的一系列新功能。 如果您在測試版或更新後調整了手機上的網絡設置,您可能已經注意到Android現在支持新的私有DNS模式。
此新功能簡化了在Android上配置自定義安全DNS解析程序的過程,也就是說,您的設備與您訪問的網站之間的各方無法窺探您的DNS查詢,因爲它們將被加密。而這背後的協議,TLS,還負責網頁間通訊的加密。相同的技術對於加密DNS查詢非常有用,可確保它們不會被ISP,移動運營商以及您和DNS解析器之間的網絡路徑中的任何其他人篡改並且無法理解。 這些新的安全協議稱爲基於HTTPS的DNS和基於TLS的DNS。
如何設置1.1.1.1
Android Pie目前只支持基於TLS的DNS。以下步驟可以快速幫助您在設備上啓用它:
1、進入 設置 -> 連接 -> 更多連接設置 -> 私有DNS
2、選擇 私有DNS供應商主機名
3、輸入 1dot1dot1dot1.cloudflare-dns.com並保存
4、瀏覽1.1.1/help(或1.0.0.1/help)驗證“使用基於TLS的DNS(DoT)”爲“是”
爲什麼使用私有DNS?
基於TLS的HTTPS和DNS是如何適應當前的互聯網隱私狀態的呢?
TLS是通過不受信任的通信渠道加密流量的協議,例如在咖啡館的無線網絡上瀏覽您的電子郵件時。然而即使用了TLS,我們仍然無法知道您與DNS服務器的連接是否已被劫持或被第三方窺探。尤其在你不小心連上了個開放熱點的時候,犯罪分子可以通過僞造你設備的DNS記錄來劫持郵件服務器或網上銀行的連接。儘管DNSSEC通過簽署響應來解決保證真實性的問題,使得篡改可被檢測到,但是線路上的任何其他人都可以讀取消息正文。
基於HTTPS/TLS的DNS解決了這個難題。這些新協議可確保您的設備與解析器之間的通信得到加密,就像我們對HTTPS流量的期望一樣。
但這一系列操作的最後一環卻可能是不安全的,即在設備與服務器上的特定主機名之間的初始TLS協商期間會顯示服務器名稱指示。發送請求的主機名沒加密,第三方仍可查看您的訪問記錄。因此,在技術仍然存在疏漏的情況下,使用可信的網絡是十分必要的。
IPv6與DNS
您可能已經注意到私有DNS字段不接受像1.1.1.1這樣的IP地址,而是想要一個主機名,如1dot1dot1dot1.cloudflare-dns.com。
谷歌之所以要求主機名而非IP地址,是因爲移動運營商需要兼顧IPv4和IPv6共存的“雙棧世界”。越來越多的組織開始使用IPv6,且美國所有主要的移動運營商都支持IPv6。在這個約有260億互聯網連接設備的數量遠遠超過43億個IPv4地址的世界中,這是一個好消息。 在一個前瞻性的舉動中,Apple要求所有新的iOS應用程序必須支持單棧IPv6網絡。
然而,我們仍然生活在一個擁有IPv4地址的世界,因此手機製造商和運營商必須考慮到向後兼容性來構建他們的系統。 目前,iOS和Android同時請求A和AAAA DNS記錄,其中包含分別對應於版本4和版本6格式的域的IP地址。
$ dig A +short 1dot1dot1dot1.cloudflare-dns.com
1.0.0.1
1.1.1.1
$ dig AAAA +short 1dot1dot1dot1.cloudflare-dns.com
2606:4700:4700::1001
2606:4700:4700::1111
要通過僅IPv6網絡與僅具有IPv4地址的設備通信,DNS解析器必須使用DNS64將IPv4地址轉換爲IPv6地址。 然後,對那些轉換的IP地址的請求將通過網絡運營商提供的NAT64轉換服務。 這一過程對設備和Web服務器是完全透明的。
有關該過程的細節,請移步APNIC。
【來自SSL中國】
