Android 将很快允许 DNS Over TLS

根据对 安卓开源项目, DNS over TLS 是一项将被添加到 Android 的开发人员选项中的功能。 没有确认,但添加到开发人员选项意味着它正在测试中,它应该会出现在未来的 Android 版本中。

什么是 DNS?

域名系统 (DNS) 是我们怎样使用互联网的重要组成部分。 DNS 将名称附加到网站主机服务器的 IP 地址,以创建我们都习惯的字母数字网址。 对于我们人类来说,记住单词比记住数字更容易。 如果您愿意,您可以轻松地在浏览器中输入网站的 IP 地址,它会将您带到同一个地方。

DNS安全吗?

DNS 根本不安全。 它以纯文本形式将您的所有域名查询传输到您的 DNS 提供商,通常是您的 ISP。 这意味着您的 DNS 提供商知道您正在访问的每个网站。 对于安全意识而言,这非常令人担忧,而且您几乎无法隐藏您的 DNS 记录。

什么是 TLS?

传输层安全 (TLS) 是一种广泛使用的安全协议,用于保持您的数据在线加密。 TLS 是在启用 HTTPS 的网站上使用的协议。

这使它成为保护 DNS 查询安全的绝佳选择,因为 TLS 在端口 443 上工作,这意味着它可以毫不费力地通过大多数防火墙。

DNS over TLS 是加密 DNS 查询的最佳方式吗?

DNS over TLS 虽然是朝着正确方向迈出的一步,但并不像听起来那么安全。 您的 DNS 查询将由 DNS 提供商而不是您的 ISP 知道,因此您将责任转移给另一方。 通过使用服务器名称指示 (SNI),您的 ISP 仍然可以确定您正在访问哪些网站,唯一可能不会出现问题的是该网站是否使用多个主机。

这是许多人忽略的一个巨大的疏忽。 TLS 上的 DNS 更有助于防止有针对性的 DNS 攻击,而不是保护隐私。 还值得注意的是,您使用的 DNS 提供商必须启用 DNS over TLS。 目前提供该选项的最大 DNS 提供商是 Google。 请注意,如果您选择使用 DNS 查询,Google 会知道它们。

加密 DNS 查询的最佳方法是通过 VPN 路由您的 DNS 查询。 无法将 DNS 查询与特定用户匹配。

DNS over TLS 值得设置吗?

这实际上取决于您是否认为您可以信任您的 DNS 提供商而不是您的 ISP。 即使那样,由于 SNI,当使用基于 TLS 的 DNS 时,您实际上是在将您的信息提供给两方。 您的 ISP 和 DNS 提供商现在都可以访问您的 DNS 查询。 这种权衡是否值得额外的安全性取决于您。

从理论上讲,基于 TLS 的 DNS 是增强网络安全性的不错补充。 它可以帮助防止特定的 DNS 攻击,这不是一件坏事。

在安全方面,信任非常重要。 像谷歌这样以挖掘用户数据而闻名的公司是一个我很难信任的基于 TLS 的 DNS 提供商。

这是一个棘手的决定,但对于大多数用户来说,DNS over TLS 可能是要避免的。 毫无疑问,这是对 Android 的一个很好的补充,这个选项总是很好,但它有太多的警告,不能成为一个坚定的推荐。