在Android Pie(安卓 9.0)上启用1.1.1.1的私有DNS
最近,谷歌正式推出了Android Pie(安卓9.0),Android 9更新了一系列的数字应用、安全和隐私等新功能。如果有用户曾在beta测试版运用过,就会发现到Android 9也支持最新的DNS模式。
默认情况下,如果网络的 DNS 服务器支持,设备会自动使用 DNS over TLS,但如果用户不希望使用 DNS over TLS,可选择将其关闭。
谷歌还表示,希望未来的操作系统都将包含安全传输,以便为所有用户提供更好的隐私保护。
Android Pie的新功能简化了在Android配置自定义安全的DNS解析程序,当网站提供DNS服务时,客户端和网站服务器就会自动进行加密,第三方无法窥视DNS查询。因为Android 9内置对DNS over TLS的支持。同时该TLS还负责自动默认HTTPS访问网站,在地址栏可看到绿色安全锁图标。这可确保不会被ISP、移动运营商以及客户端与DNS解析程序之间的第三方篡改内容或无法解析。
配置1.1.1.1
Android Pie支持DNS over TLS,但此前提需要在设备上启用该功能,具体的操作方法是:
1.设置——网络和互联网——高级——私有DNS
2.选择“专用DNS提供程序主机名”选项。
3.输入1dot1dot1dot1.cloudflare-dns.com并点击保存。
4.访问1.1.1.1/help(或1.0.0.1/help)以验证“使用DNS over TLS(DoT)”显示为“是”。
为什么要使用私有DNS?
基于TLS的HTTPS和DNS是如何适应当前的互联网隐私状态的?
TLS是一种通过不可信的通信渠道加密的协议,如咖啡店里,用户的设备连接了公共无线网络浏览电子邮件时。即使使用了TLS,仍旧无法监控到客户端与DNS服务器的连接是否有被劫持或第三方窥视。尤其是当你不小心链接了开放热点,网络犯罪分子可以通过伪造客户端的DNS记录来劫持邮件服务器和网上银行的连接。尽管DNSSEC通过签署响应来解决真实性的问题,可检测到篡改行为,但是这会让其他第三方都可以读取传输的内容。
遇到这种情况,可以通过HTTPS/TLS来解决,因为这些加密协议可对客户端与解析器之间的通信进行加密,就如现在流行的HTTPS加密协议。
但这一系列操作的最后一环可能会存在不安全因素,即在终端设备和服务器上的特定主机名之间的初始TLS协商期间会显示服务器名称指示。发送请求的主机名没加密,第三方仍可查看客户端的访问记录。因此,在技术仍然存在漏洞的情况下,使用安全可信的网络是十分重要的。
IPv6与DNS
不少用户都发现了私有DNS字段并不接受类似1.1.1.1这样简单的IP地址,而是需要一个主机名,如1dot1dot1dot1.cloudflare-dns.com。
Google之所以要求私有DNS字段是主机名而非IP地址,这是因为考虑到移动运营商需要兼顾IPv4和IPv6共存的“双栈世界”。现在越来越多的组织开始使用IPv6,在美国,主营的移动运营商都支持IPv6。据不完全统计,目前约有260亿的互联网连接设备,仅有43亿个IPv4地址。因此,连Apple都要求所有新的iOS应用程序必须支持单栈IPv6网络。
但是,目前我们仍处于一个拥有IPv4地址的世界,因此手机制造商和运营商必须要考虑到日后的兼容性问题。目前,iOS和Android同时请求A和AAAA DNS记录,其中分别包含对应于版本4和版本6格式域名的IP地址。
$ dig A +short 1dot1dot1dot1.cloudflare-dns.com 1.0.0.1 1.1.1.1 $ dig AAAA +short 1dot1dot1dot1.cloudflare-dns.com 2606:4700:4700::1001 2606:4700:4700::1111
要通过仅IPv6网络与仅具有IPv4地址的设备通信,DNS解析器必须使用DNS64将IPv4地址转换为IPv6地址。然后,对那些转换的IP地址的请求,通过网络运营商提供的NAT64转换服务。这一过程对设备和Web服务器是完全透明的。
CloudFlare 为他们的 1.1.1.1 DNS 推出了两款 App
让你可以在 iOS 或者 Android 设备上也使用上新的加密协议的 DNS 服务。
(注意:大陆地区使用CloudFlare 的DNS 1.1.1.1 需要扶墙才能获得更快的速度与体验)
iOS:
https://itunes.apple.com/us/app/1-1-1-1-faster-internet/id1423538627?mt=8
Android:
https://play.google.com/store/apps/details?id=com.cloudflare.onedotonedotonedotone