HTTPS的DNS:私有时应考虑的事项。
这意味着隐私、安全性和监护人的控制,以及是否有办法全部拥有。
在过去的一个月里,HTTPS上的DNS(DoH)一词已经成为头条新闻:谷歌于6月宣布全面上市,但7月,谷歌被英国互联网服务提供商协会(`ISPA)引进了谷歌(由于世界的强烈抗议,提名被撤回)。
这充分体现了新技术如何破坏现有的实施方式,而不仅仅是ISP和政府机构。让我们看看DoH带来的好处(尤其是考虑到最近全球DNS劫持活动的激增),它对我们依赖甚至支付的许多事情的影响和最简单的方法是什么,破坏性最小的方法对你的设备有隐私优先技术。
基于HTTPS的DNS:网络隐私的未来。
当今最受欢迎的网站使用HTTPS加密连接,保护密码、信用卡详细信息和互联网银行注册名。但而,DNS查询仍然以纯文本的形式发送。
例如,在浏览器中输入www.qunhuinas.net,与DNS服务器联系,寻求帮助,直到找到与域www.qunhuinas.net相关的IP地址(例如1.23.456.789)。中所述情节,对概念设计中的量体体积进行分析。
因为查询是纯文本形式,所以联系的DNS服务器(例如ISP的DNS服务器)和这些DNS服务器路径的所有路由器都可以确定访问的网站。随着时间的推移,这个记录将成为你网络活动的全面视图,可以用于广告等目的。另外,可以看到你的DNS请求意味着攻击者可以改变反应,重新定向欺诈网站。被称为DNS劫持的技术从4月4月份开始提供PayPal、Netflix、Gmail和Uber的注册信息。
这是DoH发挥作用的地方。该技术使用HTTPS加密所有DNS查询,只有DNS客户端(例如浏览器)和您选择的DoH服务器知道您访问哪个网站。没有人做这件事。有效阻止外部人员窥视,欺骗网络流量。
目前,谷歌、Cloudflare和其他几个公共DNS服务器可以使用DoH服务。Mozila还与Cloudflare合作,允许用户使用DoH保护Firefox的活动。
那么,为什么英国的ISP称Mozila为网络恶棍呢?
隐私和内容过滤:难题。
首先,在一些国家/地区,ISP必须在法律规定的时间段(例如12个月)内保留预约者的阅览历史记录,以便于刑事调查,DoH成为主流时难以实现。这也使ISP不太可能提供基于DNS的父母控制和恶意软件保护服务。因为不能看到大人和恶意网站的DNS查询。
事实上,不仅仅是ISP。
基于DNS的内容过滤非常普遍,几乎所有家长都使用控制设备(与路由器一起设置在网络上的设备),很多家庭安全产品(也称为家庭防火墙)作为低误报率使用。识别危害的方法。如果DNS查询现在在通过这些产品之前加密的话,也会停止工作。
所以,我们从一开始就说DoH破坏了现有的实施方式,包括家庭用户。另一方面,现在可能很难利用DoH。大多数应用程序和操作系统本身不支持DoH。配置通常需要使用命令行工具,需要配置保护的各设备。
在路由器级别进行DoH拥有一切
每次看到设备级配置的复杂性和重复性,都会移动到路由器级,这几乎是本能的。这是安全访问和威胁保护软件包的来源:家长控制和网络保护一的控制和网络保护。随着当今家庭不可配置设备(如IoT设备)数量的快速增加,尤为重要。同样,我们现在在最新的群晖SynologyRouterManager(SRM)1.2.3引进DoH。
一个重选框-适用于所有连接的设备。
路由器上的本机DoH支持意味着设备发出的所有DNS查询一旦通过路由器,就会自动用HTTPS加密。只需在SRM中选择优先的DoH服务器(谷歌、Cloudflare或输入其他DoH服务器的URL)。点击两三次就可以锁定整个网络,不会被撬开。
基于DNS的过滤仍然可行。
仅在超出路由器时加密DNS查询,因此在安全访问中基于DNS的威胁信息和父母控制功能继续生效。例如,如果你的孩子不小心在违规网站上绊倒,路由器会拦截他的DNS查询,并向他展示你的定制信息。加密其他无害的查询,使你的网外人无法利用他的阅览历史记录。
利用路由器的独特作用,结合双方的美——SRM1.2.3希望如何使安全和在线隐私。
如何看待基于HTTPS的DNS?你尝试过任何应用/操作系统或SRM吗?在群晖SynologyCommunity上告诉你。
建议不要在设备上使用DoH,而是留给路由器。为了阻止某人(例如,在Firefox上)使用DoH绕过网络过滤,可以将DoH服务器的URL添加到安全访问的阻止列表中。当设备无法查询DoH服务器时,返回非加密路由。
对于使用自主管理DNS服务器的用户,启用DoH阻止设备以当地DNS服务器的形式查询,因此不推荐使用。
地址:北京市海淀区白家疃尚品园 1号楼225
北京群晖时代科技有限公司