在Android 9 Pie上啟用.1的私有DNS
8月7日,Google 正式對外發布了Android 9,並將其命名為 Pie,Android 9更新了一系列的數字應用、安全和隱私等新功能。如果有用戶曾在beta測試版運用過,就會發現到Android 9也支持最新的DNS模式。
Android Pie的新功能簡化了在Android配置自定義安全的DNS解析程序,當網站提供DNS服務時,客戶端和網站伺服器就會自動進行加密,第三方無法窺視DNS查詢。因為Android 9內置對DNS over TLS的支持。同時該TLS還負責自動默認HTTPS訪問網站,在地址欄可看到綠色安全鎖圖標。這可確保不會被ISP、移動運營商以及客戶端與DNS解析程序之間的第三方篡改內容或無法解析。
配置1.1.1.1 Android Pie支持DNS over TLS,但此前提需要在設備上啟用該功能,具體的操作方法是:
1、設置——網路和互聯網——高級——私有DNS
2、選擇「專用DNS提供程序主機名」選項。
3、輸入1dot1dot1dot1.cloudflare-dns.com並點擊保存。
4、訪問1.1.1.1/help(或1.0.0.1/help)以驗證「使用DNS over TLS(DoT)」顯示為「是」。
為什麼要使用私有DNS?
基於TLS的HTTPS和DNS是如何適應當前的互聯網隱私狀態的?
TLS是一種通過不可信的通信渠道加密的協議,如咖啡店裡,用戶的設備連接了公共無線網路瀏覽電子郵件時。即使使用了TLS,仍舊無法監控到客戶端與DNS伺服器的連接是否有被劫持或第三方窺視。尤其是當你不小心鏈接了開放熱點,網路犯罪分子可以通過偽造客戶端的DNS記錄來劫持郵件伺服器和網上銀行的連接。儘管DNSSEC通過簽署響應來解決真實性的問題,可檢測到篡改行為,但是這會讓其他第三方都可以讀取傳輸的內容。
遇到這種情況,可以通過HTTPS/TLS來解決,因為這些加密協議可對客戶端與解析器之間的通信進行加密,就如現在流行的HTTPS加密協議。
但這一系列操作的最後一環可能會存在不安全因素,即在終端設備和伺服器上的特定主機名之間的初始TLS協商期間會顯示伺服器名稱指示。發送請求的主機名沒加密,第三方仍可查看客戶端的訪問記錄。因此,在技術仍然存在漏洞的情況下,使用安全可信的網路是十分重要的。
IPv6與DNS 不少用戶都發現了私有DNS欄位並不接受類似1.1.1.1這樣簡單的IP地址,而是需要一個主機名,如1dot1dot1dot1.cloudflare-dns.com。
Google之所以要求私有DNS欄位是主機名而非IP地址,這是因為考慮到移動運營商需要兼顧IPv4和IPv6共存的「雙棧世界」。現在越來越多的組織開始使用IPv6,在美國,主營的移動運營商都支持IPv6。據不完全統計,目前約有260億的互聯網連接設備,僅有43億個IPv4地址。因此,連Apple都要求所有新的iOS應用程序必須支持單棧IPv6網路。
但是,目前我們仍處於一個擁有IPv4地址的世界,因此手機製造商和運營商必須要考慮到日後的兼容性問題。目前,iOS和Android同時請求A和AAAA DNS記錄,其中分別包含對應於版本4和版本6格式域名的IP地址。
$ dig A +short 1dot1dot1dot1.cloudflare-dns.com
1.0.0.1
1.1.1.1
$ dig AAAA +short 1dot1dot1dot1.cloudflare-dns.com
2606:4700:4700::1001
2606:4700:4700::1111
要通過僅IPv6網路與僅具有IPv4地址的設備通信,DNS解析器必須使用DNS64將IPv4地址轉換為IPv6地址。然後,對那些轉換的IP地址的請求,通過網路運營商提供的NAT64轉換服務。這一過程對設備和Web伺服器是完全透明的。
文章翻譯於cloudflare
文章轉載https://www.trustauth.cn/wiki/26299.html
※加密強度:128位SSL與256位SSL
※Chrome瀏覽器安全新功能:網站隔離
TAG:數安時代GDCA |