得益于 Let"s Encrypt 等加密倡议项目的成功实施,以及浏览器用户体验(UX)的最新修改,当前大多数加载的网页,都已经用上了 TLS 加密。然而在互联网世界,用于解析转换域名和对应 IP 地址的 DNS 服务器,却仍未普及更加安全的技术,导致现实应用中出现了较大的数字鸿沟。具体说来是,用户的许多线上活动(比如访问的历史站点),都会被暗地里收集。
(来自:EFF,via TechSpot)
恶意 DNS 解析服务器、或网路上的路由器,也可能篡改用户的 DNS 请求,从而阻止某些站点的访问、甚至将用户重定向至变造的站点。
好消息是,一支工程师团队正在努力通过 "DNS over HTTPs" 方案(简称 DoH),来克服现有的 DNS 裸奔问题。作为互联网工程任务组正在开发的一项技术草案,其已经得到了 Mozilla 的用户。
启用 "DNS over HTTPs" 后,用户的域名解析请求可通过 TLS 加密通信进行访问,以斩断网络路径上的监听、欺骗和拦截。
除了 TLS 1.3 加密和 SNI 之类的技术,DoH 还具有增强隐私防护的潜力。
然而现实是,许多互联网服务提供商(ISP)和标准化过程参与者对此表现出了强烈的抵触情绪。Mozilla 更是因为在 DoH 开发中作出的贡献,而被英国 ISP 协会斥为 " 互联网恶棍 "。
据悉,ISP 的担忧主要集中在 DoH 会强制让门户访问变得复杂化。后者用于短暂拦截连接,以强制用户登陆 ISP 的网络,同时的 DNS 级别的内容拦截上变得更加困难。
比如,DNS over HTTPS 可能会破坏英国阻止访问在线色情内容的计划。作为 2017 年《数字经济法案》的一部分,其就是通过 DNS 层面的拦截来实现的。
此外,一些成员对使用特定的 DNS 解析服务器一事感到担忧。
DoH 方案覆盖了操作系统配置的解析器(当前普遍为 ISP 建议的 DNS 服务器),这有助于互联网基础结构的集中化,因为用于 Web 请求的数千个 DNS 解析器将被一小部分取代。
这种集中化可提升浏览器供应商选择的 DNS 解析器操作者的能力,使之可审查和监视浏览器用户的线上活动。然而 Mozilla 推动的方案,却致力于禁止此类审查和监视政策。
为避免新技术产生过于强大的集中效应,电子前沿基金会(EFF)呼吁 ISP 自己动手,积极投身于 DoH 服务器的广泛部署,从而兼顾新技术的安全性和隐私优势。
电话咨询
在线咨询