Mozilla預計將在9月初Firefox 62中使用可信遞歸解析器(Trusted Recursive Resolver,TRR)與DNS over HTTPS(DOH)技術,以HTTPS發送DNS封包,彌補現行DNS系統使用UDP以及TCP協議明碼傳輸請求的安全性疑慮,想嚐鮮的用戶可以在Firefox Nightly版本中手動打開。
傳統的DNS讓用戶曝露在風險中,Mozilla解釋,解析器(Resolver)會告訴每一臺DNS服務器用戶查找的域名,而這些信息可能包含用戶完整的IP位置,而且即使只有部分IP信息,有心人士也可以結合其他信息,識別出用戶的身份,另外,查找域名的過程,讓每一臺服務器都知道用戶要找查的網站,也就是說,路徑上的任何人都可以看到用戶請求。這造成兩個主要的風險,用戶可能被關注(Tracking)或是欺騙(Spoofing)。
即使用戶不需要擔心惡意的DNS服務器,但是一般的解析器或是DNS服務器,也可能進行著超出用戶預料的行為。除了上面提到域名查找的信息可能透漏用戶身份外,查找路徑上的路由器都能創建用戶的文件,並收集這些查找紀錄。 Mozilla提到,特別是常會到公共場所使用網絡的用戶,很難確定不同的解析器使用的隱私政策,可能在不知情的狀況下,個人數據遭到銷售。
如果運氣不好,用戶還可能會碰到具欺騙行為的解析器,最糟的情況可能是用戶查找了某網站網域的IP位置,惡意解析器提供惡意的IP,導致用戶受黑。好一點的情況可能是,用戶在A實體店面購物,想要上網查找競爭商家B同樣商品價格,用戶剛好使用A店家的無線網絡,而該網絡解析器可能劫持用戶對B店家的流量,欺騙用戶該網絡無法訪問。
為了解決以上這些傳統DNS系統帶來的風險,Mozilla在Firefox中採用TRR以及DOH技術。 TRR可以避免不可信的解析器,而DOH則可以防止查找路徑上的竊聽與篡改,另外,Firefox還最小化傳輸的數據,在這去匿名化環境中保護用戶隱私。
由於一般的ISP可能不支持這些技術,因此目前Mozilla找來了合作伙伴Cloudflare,創建支持DOH技術的TRR。有了可信的解析器,用戶的查找數據就不會有被轉售或是洩漏的危機。 Mozilla提到,Cloudflare對TRR用戶的隱私政策,承諾在24小時後丟棄所有可識別個人身份的信息,也不會將這些數據轉送給第三方,並且定期審查確保每一個環節符合預期。當然用戶也不一定要使用Cloudflare,可以選用自己喜歡的TRR。除了不可信的解析器風險外,查找路徑上的路由器也是安全威脅之一,Mozilla表示,使用DOH技術,將能讓DNS請求以及回應受到加密保護,讓旁人無法輕易竊取。
另外,Mozilla提到他們正與Cloudflare合作,儘可能降低傳輸的查找數據量,在去匿名化的環境保護用戶隱私。一般情況解析器會將整個域名發送給每一個服務器,包括根DNS、頂級域名服務器還有二級域名服務器等,但現在Cloudflare使用QNAME最小化技術,只發送用戶當前溝通的DNS相關部分。
還有,解析器通常會請求用戶IP位置的前24比特信息,而這有助於DNS知道用戶的位置,藉以選擇距離最近的CDN,但Cloudflare則會發送給DNS在用戶附近的IP位置,除了一樣可以提供地理信息外,還能隱藏用戶身份。
不過,在查找了網域IP後,用戶要連接該網頁服務器時,會發送服務器名稱指示,這項請求是未加密的,因此ISP仍然可以知道用戶欲瀏覽的網站,但只要用戶與網站創建連接後,則一切都是加密進行了。預計在9月上線的Firefox 62將會正式提供DOH技術,但用戶現在就能使用Firefox Nightly版本嚐鮮。
閱讀更多 十輪網 的文章
