Mozilla基金會工程師宣佈計劃在Firefox Nightly發行版中測試“DNS over HTTPS”(DoH)的雛形安全標準。該功能將通過Firefox shield study(一種瀏覽器機制)來進行測試,該機制允許工程師立即推出或回滾實驗功能。
什麼是DNS?
DNS(Domain Name System,域名系統),是在萬維網上作為域名和IP地址相互映射的一個分佈式數據庫,能夠使用戶更方便地訪問互聯網。IP地址由一串數字組成,不方便用戶記憶,但是每個IP地址都可以有一個主機名,主機是由相對直觀有意義的字符串組成,方便用戶記住並直接訪問。通過域名訪問對應IP地址的過程,叫做域名解析。目前大多數DNS請求都是以純文本形式進行通過UDP或TCP協議完成,這意味著您的運營商可以看到域名與IP的轉換。
什麼是DNS over HTTPS?
基於HTTPS的DNS是一種網絡協議,主張通過HTTPS加密連接發送DNS請求和接收DNS響應,從而實現DNS查詢機密性。目前該標準仍在互聯網工程任務組(IETF)討論中。
DoH常常與DNSSEC混淆,DNSSEC是一種使用加密的標準,但不是為了“機密性”而是用於DNS客戶端和服務器之間的“源認證”。DNSSEC的開發是為了打擊基於DNS的DDoS攻擊和源IP欺騙,而DoH則是為了提供查詢保密性,免受第三方(如ISPs)的窺探。儘管DoH不到一歲,但許多人將DoH視為DNS標準的加密版本,就像HTTPS是HTTP的加密版本一樣。
Mozilla在協議批准之前,測試DoH協議
即使Mozilla工程師沒有得到DoH標準的最終版本,他們仍然決定對協議進行測試運行,並瞭解它在現實世界中的表現。
“很快我們將推出一項基於Nightly的pref-flip shield study,以確認DNS over HTTPS(DoH)的可行性。” Mozilla工程師Patrick McManus說。“如果一切順利,研究將在星期一發布(或者下週一),它將運行小於一週,如果你正在運行Nightly,並且想看看你是否在Study機制中,可以檢查about:studies。” 如果用戶已被選中參加Firefox Shield study,則about:studies頁面中將顯示一個新條目,about:config部分將顯示新的首選項。
是否採用DNS over HTTPS 完全取決於DNS行業,如果一臺服務器配備了SSL / TLS,那麼DNS over TLS就在其能力範圍之內,主要看服務器是否支持這項技術。Google的DNS服務器已經支持DNS over TLS,如果你想通過TLS啟用DNS,只需要找到一個支持它的DNS服務器即可。
使用DNS over HTTPS是非常重要的,就像我們常常建議在網站上啟用HSTS一樣, SSL/TLS是一個強大的工具,但必須最大化地關閉所有不安全媒介,才能最大化地發揮SSL/TLS的真正作用。沃通CA建議網站運營者選用支持SSL/TLS的DNS服務器,啟用DNS over HTTPS保護解析過程的安全性。
閱讀更多 沃通WoTrus 的文章
