HTTPS(DoH)上的DNS如何提高在线隐私

在一个圆圈中的电动蓝色锁图标。
Anci Valiart / Shutterstock.com

像Microsoft,Google和Mozilla这样的公司正在通过HTTPS(DoH)推动DNS的发展。 该技术将对DNS查找进行加密,从而改善在线隐私和安全性。 但这是有争议的: 康卡斯特正在游说反对它 这是您需要知道的。

什么是HTTPS上的DNS?

网络一直在努力向默认情况下的所有内容加密。 此时,您访问的大多数网站都可能使用HTTPS加密 像Chrome这样的现代网络浏览器现在将使用标准HTTP的所有网站标记为“ 不安全。HTTP / 3 (HTTP协议的新版本)已加入加密功能。

这种加密可确保在您查看网页或窥探您在网上所做的工作时,任何人都无法篡改该网页。 例如,如果您连接到Wikipedia.org,则网络运营商(无论是企业的公共Wi-Fi热点还是您的ISP)都只能看到您已连接到Wikipedia.org。 他们看不到您正在阅读的文章,也无法修改运输中的Wikipedia文章。

但是,在向加密迈进的过程中,DNS已被抛在后面。 域名系统使通过域名而不是使用数字IP地址连接到网站成为可能。 您输入一个域名(例如google.com),系统将与配置的DNS服务器联系,以获取与google.com关联的IP地址。 然后它将连接到该IP地址。

在Windows 10上使用nslookup命令执行DNS查找。

到目前为止,这些DNS查找尚未进行加密。 当您连接到网站时,系统会触发一个请求,要求您查找与该域关联的IP地址。 介于两者之间的任何人(可能是您的ISP,也可能只是公共Wi-Fi热点记录流量)可以记录您要连接到的域。

通过HTTPS的DNS关闭了此监督。 使用HTTPS进行DNS时,系统将与DNS服务器建立安全的加密连接,并通过该连接传输请求和响应。 介于两者之间的任何人将看不到您要查找的域名或篡改响应。

今天,大多数人使用其互联网服务提供商提供的DNS服务器。 但是,有许多第三方DNS服务器,例如Cloudflare的1.1.1.1Google Public DNSOpenDNS 这些第三方提供程序是最早对HTTPS上的DNS支持服务器端支持的第三方提供程序之一。 要通过HTTPS使用DNS,您既需要DNS服务器,又需要支持它的客户端(例如网络浏览器或操作系统)。

相关: 什么是DNS,我应该使用其他DNS服务器吗?

谁会支持它?

Google和Mozilla已经在Google Chrome和Mozilla Firefox中通过HTTPS测试DNS。 在2019年11月17日, 微软宣布将在Windows网络中采用基于HTTPS的DNS。 这将确保Windows上的每个应用程序都可以通过HTTPS获得DNS的好处,而无需进行显式编码以支持它。

谷歌表示 ,默认情况下,它将从Chrome 79开始为1%的用户启用DoH,预计将于2019年12月10日发布。发布该版本后,您还可以转到chrome://flags/#dns-over-https启用它。

通过Google Chrome标志启用安全的DNS查找。

Mozilla表示 ,它将在2019年为所有人启用基于HTTPS的DNS。在当今的Firefox稳定版本中,您可以转到菜单>选项>常规,向下滚动,然后单击网络设置下的“设置”以找到此选项。 激活“通过HTTPS启用DNS”。

在Mozilla Firefox的网络设置中通过HTTPS启用DNS。

苹果尚未对基于HTTPS的DNS计划发表评论,但我们希望该公司能够跟随并在iOS和macOS以及其他行业中实施支持。

默认情况下尚未为所有人启用该功能,但是一旦完成,基于HTTPS的DNS应该使使用互联网更加私有和安全。

为什么Comcast游说反对?

到目前为止,这听起来没有什么争议,但是确实如此。 康卡斯特显然在游说国会,以阻止Google通过HTTPS推出DNS。

康卡斯特(Comcast)在提交给议员的演示文稿中,由母板获得,康卡斯特(Comcast)辩称谷歌正在追求“单方面计划”(与Mozilla一起)以激活DoH并“与谷歌集中[集中]全球范围内的大多数DNS数据”,互联网体系结构的分散性发生了根本性的变化。”

坦率地说,其中大部分是错误的。 Mozilla的Marshell Erwin告诉Motherboard,“整体幻灯片极具误导性和不准确性。” Chrome产品经理Kenji Beaheux在博客中指出 ,Google Chrome不会强迫任何人更改其DNS提供商。 Chrome将服从系统当前的DNS提供商-如果它不支持HTTPS上的DNS,Chrome将不使用HTTPS上的DNS。

并且,自那时以来,微软宣布了计划在Windows操作系统级别支持DoH。 在Microsoft,Google和Mozilla的拥护下,这几乎不是Google的“单方面”计划。

一些人认为Comcast不喜欢DoH,因为它不再能够收集DNS查找数据。 但是,Comcast 承诺不会监视您的DNS查找。 该公司坚称它支持加密的DNS,但希望有一个“协作的,全行业的解决方案”,而不是“单方面的行动”。康卡斯特的消息是乱七八糟的-它反对通过HTTPS进行DNS的争论显然是在立法者眼中,而不是在公众眼中。

通过HTTPS的DNS将如何工作?

除了康卡斯特(Comcast)的奇怪异议外,让我们看一下基于HTTPS的DNS的实际工作方式。 当DoH支持在Chrome中生效时,Chrome仅在系统当前的DNS服务器支持时才通过HTTPS使用DNS。

换句话说,如果您拥有Comcast作为互联网服务提供商,并且Comcast拒绝支持DoH,那么Chrome可以像今天一样运行,而无需加密您的DNS查找。 如果您配置了其他DNS服务器-也许您选择了Cloudflare DNS,Google Public DNS或OpenDNS,或者您的ISP的DNS服务器确实支持DoH-Chrome将使用加密与您当前的DNS服务器通信,从而自动“升级”连接。 用户可能会选择放弃不提供DoH的DNS提供商(例如Comcast的DNS提供商),但Chrome不会自动这样做。

这也意味着任何使用DNS的内容过滤解决方案都不会被中断。 如果您使用OpenDNS并将某些网站配置为被阻止,Chrome会将OpenDNS保留为默认DNS服务器,并且不会发生任何变化。

Firefox的工作方式略有不同。 Mozilla选择与Cloudflare一起成为Firefox在美国的加密DNS提供商。 即使您配置了其他DNS服务器,Firefox也会将您的DNS请求发送到Cloudflare的1.1.1.1 DNS服务器。 Firefox将允许您禁用此功能或使用自定义的加密DNS提供程序,但Cloudflare将是默认设置。

Firefox通过Cloudflare警报加密了DNS查找。
Mozilla

微软表示Windows 10中的HTTPS上的DNS与Chrome类似。 Windows 10将遵循您的默认DNS服务器,并且仅在您选择的DNS服务器支持它时才启用DoH。 但是,微软表示,它将引导“注重隐私的Windows用户和管理员”使用DNS服务器设置。

Windows 10可能会鼓励您将DNS服务器切换到已通过DoH保护的服务器,但是微软表示Windows不会为您进行切换。

赞 (1)
分享到:更多 ()