首页>安全资讯>Mozilla在Firefox中测试DNS over HTTPS (DoH)

Mozilla在Firefox中测试DNS over HTTPS (DoH)

Mozilla基金会工程师宣布计划在Firefox Nightly发行版中测试“DNS over HTTPS”(DoH)的雏形安全标准。该功能将通过Firefox shield study(一种浏览器机制)来进行测试,该机制允许工程师立即推出或回滚实验功能。

什么是DNS?

DNS(Domain Name System,域名系统),是在万维网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便地访问互联网。IP地址由一串数字组成,不方便用户记忆,但是每个IP地址都可以有一个主机名,主机是由相对直观有意义的字符串组成,方便用户记住并直接访问。通过域名访问对应IP地址的过程,叫做域名解析。目前大多数DNS请求都是以纯文本形式进行通过UDP或TCP协议完成,这意味着您的运营商可以看到域名与IP的转换。

什么是DNS over HTTPS?

基于HTTPS的DNS是一种网络协议,主张通过HTTPS加密连接发送DNS请求和接收DNS响应,从而实现DNS查询机密性。目前该标准仍在互联网工程任务组(IETF)讨论中。

DoH常常与DNSSEC混淆,DNSSEC是一种使用加密的标准,但不是为了“机密性”而是用于DNS客户端和服务器之间的“源认证”。DNSSEC的开发是为了打击基于DNS的DDoS攻击和源IP欺骗,而DoH则是为了提供查询保密性,免受第三方(如ISPs)的窥探。尽管DoH不到一岁,但许多人将DoH视为DNS标准的加密版本,就像HTTPS是HTTP的加密版本一样。

Mozilla在协议批准之前,测试DoH协议

即使Mozilla工程师没有得到DoH标准的最终版本,他们仍然决定对协议进行测试运行,并了解它在现实世界中的表现。

“很快我们将推出一项基于Nightly的pref-flip shield study,以确认DNS over HTTPS(DoH)的可行性。” Mozilla工程师Patrick McManus说。“如果一切顺利,研究将在星期一发布(或者下周一),它将运行小于一周,如果你正在运行Nightly,并且想看看你是否在Study机制中,可以检查about:studies。” 如果用户已被选中参加Firefox Shield study,则about:studies页面中将显示一个新条目,about:config部分将显示新的首选项。

是否采用DNS over HTTPS 完全取决于DNS行业,如果一台服务器配备了SSL / TLS,那么DNS over TLS就在其能力范围之内,主要看服务器是否支持这项技术。Google的DNS服务器已经支持DNS over TLS,如果你想通过TLS启用DNS,只需要找到一个支持它的DNS服务器即可。

使用DNS over HTTPS是非常重要的,就像我们常常建议在网站上启用HSTS一样, SSL/TLS是一个强大的工具,但必须最大化地关闭所有不安全媒介,才能最大化地发挥SSL/TLS的真正作用。沃通CA建议网站运营者选用支持SSL/TLS的DNS服务器,启用DNS over HTTPS保护解析过程的安全性。

消息来源:国外网站,沃通原创文章,转载请注明来源。https://www.wosign.com/News/2018-0329-01.htm