售前咨询
技术支持
渠道合作

在Android 9 Pie上启用1.1.1.1的私有DNS

8月7日,Google 正式对外发布了Android 9,并将其命名为 Pie,Android 9更新了一系列的数字应用、安全和隐私等新功能。如果有用户曾在beta测试版运用过,就会发现到Android 9也支持最新的DNS模式。

Android Pie的新功能简化了在Android配置自定义安全的DNS解析程序,当网站提供DNS服务时,客户端和网站服务器就会自动进行加密,第三方无法窥视DNS查询。因为Android 9内置对DNS over TLS的支持。同时该TLS还负责自动默认HTTPS访问网站,在地址栏可看到绿色安全锁图标。这可确保不会被ISP、移动运营商以及客户端与DNS解析程序之间的第三方篡改内容或无法解析。

配置1.1.1.1

Android Pie支持DNS over TLS,但此前提需要在设备上启用该功能,具体的操作方法是:
1、设置——网络和互联网——高级——私有DNS
2、选择“专用DNS提供程序主机名”选项。
3、输入1dot1dot1dot1.cloudflare-dns.com并点击保存。
4、访问1.1.1.1/help(或1.0.0.1/help)以验证“使用DNS over TLS(DoT)”显示为“是”。

为什么要使用私有DNS?
基于TLS的HTTPS和DNS是如何适应当前的互联网隐私状态的?

TLS是一种通过不可信的通信渠道加密的协议,如咖啡店里,用户的设备连接了公共无线网络浏览电子邮件时。即使使用了TLS,仍旧无法监控到客户端与DNS服务器的连接是否有被劫持或第三方窥视。尤其是当你不小心链接了开放热点,网络犯罪分子可以通过伪造客户端的DNS记录来劫持邮件服务器和网上银行的连接。尽管DNSSEC通过签署响应来解决真实性的问题,可检测到篡改行为,但是这会让其他第三方都可以读取传输的内容。

遇到这种情况,可以通过HTTPS/TLS来解决,因为这些加密协议可对客户端与解析器之间的通信进行加密,就如现在流行的HTTPS加密协议。

但这一系列操作的最后一环可能会存在不安全因素,即在终端设备和服务器上的特定主机名之间的初始TLS协商期间会显示服务器名称指示。发送请求的主机名没加密,第三方仍可查看客户端的访问记录。因此,在技术仍然存在漏洞的情况下,使用安全可信的网络是十分重要的。

IPv6与DNS

不少用户都发现了私有DNS字段并不接受类似1.1.1.1这样简单的IP地址,而是需要一个主机名,如1dot1dot1dot1.cloudflare-dns.com。

Google之所以要求私有DNS字段是主机名而非IP地址,这是因为考虑到移动运营商需要兼顾IPv4和IPv6共存的“双栈世界”。现在越来越多的组织开始使用IPv6,在美国,主营的移动运营商都支持IPv6。据不完全统计,目前约有260亿的互联网连接设备,仅有43亿个IPv4地址。因此,连Apple都要求所有新的iOS应用程序必须支持单栈IPv6网络。

但是,目前我们仍处于一个拥有IPv4地址的世界,因此手机制造商和运营商必须要考虑到日后的兼容性问题。目前,iOS和Android同时请求A和AAAA DNS记录,其中分别包含对应于版本4和版本6格式域名的IP地址。

$ dig A +short 1dot1dot1dot1.cloudflare-dns.com
1.0.0.1
1.1.1.1

$ dig AAAA +short 1dot1dot1dot1.cloudflare-dns.com
2606:4700:4700::1001
2606:4700:4700::1111

要通过仅IPv6网络与仅具有IPv4地址的设备通信,DNS解析器必须使用DNS64将IPv4地址转换为IPv6地址。然后,对那些转换的IP地址的请求,通过网络运营商提供的NAT64转换服务。这一过程对设备和Web服务器是完全透明的。

文章翻译于cloudflare

 

上一篇:

下一篇:

相关新闻