寫在最前:歡迎你來到“UC國際技術”公眾號,我們將為大家提供與客戶端、服務端、演算法、測試、資料、前端等相關的高質量技術文章,不限於原創與翻譯。
今天,谷歌官方部落格刊文宣佈谷歌公共 DNS 伺服器正式支援 DoH 加密,為使用者提供便捷訪問的同時也保護隱私。
谷歌稱自八年前推出谷歌公共 DNS 伺服器至今,網路環境已經發生很大變化,使用者迫切需要保護自己的隱私。谷歌公共 DNS 的任務就是為全世界所有使用者提高 DNS 的安全性和準確性,因此谷歌 DNS 開始支援 DoH 加密。
當前谷歌公共 DNS 已經完全接入 DoH 加密並最大限度的減少 TLS 開銷,包括 TLS 1.3 和 TCP 協議快速開啟等等。加密功能對查詢速度有影響但是經過優化後影響已經很小很小,絕大多數使用者不會感覺到加密後帶來的延遲。
以下是小編整理的 DNS 加密以及 DoH 的相關知識,感謝 程式設計隨想 博主的文章,文章地址在本文最後,感興趣的朋友們可以進行了解。
為何 DNS 需要加密
設計 DNS 的時候,網際網路基本上還是個玩具。那年頭的網際網路協議,壓根兒都沒考慮安全性,DNS 當然也不例外。所以 DNS 的互動過程全都是【明文】滴,既無法做到 “保密性”,也無法實現 “完整性”。
- 缺乏 “保密性” 就意味著——任何一個能【監視】你上網流量的人,都可以【看到】你查詢了哪些域名。直接引發的問題就是隱私風險。
- 缺乏 “完整性” 就意味著——任何一個能【修改】你上網流量的人,都可以【篡改】你的查詢結果。直接引發的問題就是 “DNS 欺騙”(也叫 “DNS 汙染” 或 “DNS 快取投毒”)。
為了解決傳統 DNS 的這些弊端,後來誕生了好幾個網路協議,以強化域名系統的安全性。上文提到的 DoH 正是最晚誕生、也最被看好的一個。
DoH 何許人也
DoH 即 “DNS over HTTPS”的簡稱,顧名思義,DNS over HTTPS 就是基於 HTTPS 隧道之上的域名協議。而 HTTPS 又是 “HTTP over TLS”。所以 DoH 相當於是【雙重隧道】的協議。
DoH 最終依靠 TLS 實現了【保密性】與【完整性】。這麼做的好處是,即使有人監視你的上網流量,也無法判斷——哪些 TLS 流量是用於域名查詢,哪些 TLS 用於網頁傳輸。換句話說,DoT 協議的流量無法被【單獨識別】出來。
此外,由於 DoH 是基於 HTTP 之上。而主流的程式語言都有成熟的 HTTP 協議封裝庫;再加上 HTTP 協議的使用本身很簡單。因此,要想用各種主流程式語言開發一個 DoH 的客戶端,是非常容易滴。
對 DoH 的討論
瀏覽器支援
- Firefox 從 62 版本開始支援 DoH,具體參見 Mozilla 官方部落格。地址:blog.nightly.mozilla.org/2018/06/01/…
- Chrome/Chromium 從 66 版本開始支援 DoH。具體參見 Chromium 官網的 issue。地址:bugs.chromium.org/p/chromium/…
雖然 Firefox 和 Chrome/Chromium 都已經開始支援 DoH,但大夥兒別急著用。 按照歷史經驗,剛加入的新功能,可能還不夠穩定,沒準兒還存在未曝光的安全漏洞。多等幾個版本之後再說。
參考文章: program-think.blogspot.com/2018/10/Com…
好文推薦: Redux作者從“UI工程要素”談如何成為領域專家
“UC國際技術”致力於與你共享高質量的技術文章
歡迎關注我們的公眾號、將文章分享給你的好友
