用戶面臨的隱私和安全隱患與日俱增。 在 Mozilla，我們密切關(guān)注這些威脅。 我們相信我們有責(zé)任盡全力保護 Firefox 用戶及其數(shù)據(jù)。

一些公司和組織想要秘密收集用戶數(shù)據(jù)并拿來出售。 這就是為什么我們添加了跟蹤保護并創(chuàng)建了 Facebook 容器擴展。 接下來幾個月在保護用戶數(shù)據(jù)方面我們會采取更多的措施。

另外兩項要添加的保護措施：

• 基于 HTTPS 的 DNS，這是我們倡導(dǎo)的一項新的 IETF 標準方案

• 可信遞歸解析器，一種新的解決 DNS 安全的方案，該方案由我們與 Cloudflare 合作提供

通過這兩項舉措，逐漸解決了 35 年前創(chuàng)建的域名系統(tǒng)中一直存在的數(shù)據(jù)泄露問題。那么來看看如何通過基于 HTTPS 的 DNS 和可信遞歸解析器來保護我們的用戶。

但首先，讓我們看看網(wǎng)頁是如何在互聯(lián)網(wǎng)中運作的。

如果你對 DNS 和 HTTPS 的工作原理已經(jīng)非常了解，那么可以跳至"基于 HTTPS 的 DNS 的好處"這部分。

 

 

什么是 HTTP？

 

當(dāng)我們解釋瀏覽器如何下載網(wǎng)頁時，通常會這樣解釋：

1. 瀏覽器向服務(wù)器發(fā)出 GET 請求。

2. 服務(wù)器發(fā)送一個響應(yīng)，該響應(yīng)是一個包含 HTML 的文件。

這個系統(tǒng)被稱為 HTTP。

但是這張圖有點過分簡化了。 瀏覽器不會直接與服務(wù)器通話。因為瀏覽器和服務(wù)器可能并不接近。

相反，服務(wù)器可能遠在千里之外。 因此你的電腦和服務(wù)器之間不可能存在直接連接。

從瀏覽器發(fā)出的請求需要經(jīng)過很多次轉(zhuǎn)手才能到達服務(wù)器。 對于從服務(wù)器返回的響應(yīng)也是如此。

這就好比課堂上傳遞紙條。 紙條會表明應(yīng)該傳遞給誰。 寫下紙條的學(xué)生把紙條傳遞給相鄰的學(xué)生。 然后，這個學(xué)生又把紙條傳遞給他相鄰的學(xué)生 - 可能不是最終的接收者，但一定是到達接受者方向上的某個學(xué)生。

問題在于沿路的任何人都可以打開紙條。 而且沒有辦法事先確定紙條的傳遞路徑，所以不確定會有哪些人訪問到紙條。

紙條最后可能會落入想要干壞事的人手上.....

就像對所有人公開了紙條的內(nèi)容一樣。

或者改變響應(yīng)。

為了解決這些問題，創(chuàng)建了一個新的安全版本的 HTTP，即 HTTPS。 使用 HTTPS，就像每條消息都上了一個鎖。

瀏覽器和服務(wù)器都知道該鎖的組合，除此之外沒有任何人知道。

這樣，即使消息在多個路由器之間傳遞，只有你和網(wǎng)站能夠讀取到內(nèi)容。

這解決了很多安全問題。 但是瀏覽器和服務(wù)器之間仍然存在一些未加密的消息。 這意味著消息傳遞的路徑上仍然有人可以竊取你的消息。

在與服務(wù)器建立連接的過程中，數(shù)據(jù)仍然有可能暴露。 當(dāng)將初始消息發(fā)送到服務(wù)器時，也會發(fā)送服務(wù)器名稱（在名為“服務(wù)器名稱指示”的字段中）。 這讓運行了多個站點的服務(wù)器仍然知道應(yīng)該與誰通信。 此初始請求的一部分設(shè)置了加密，但初始請求本身未加密。

數(shù)據(jù)暴露的另一個地方是在 DNS 中。 但什么是 DNS？

 

 

什么是 DNS？

 

在上面的圖解中，紙條接收者的名字必須放在紙條外面。 對于 HTTP 請求也是如此......HTTP 請求需要指明目的地。

但是不能為 HTTP 請求使用名字。 沒有一個路由器會知道你在說什么。 相反，必須使用 IP 地址。 通過 IP 地址中間的路由器就知道應(yīng)該將請求往哪發(fā)。

這會導(dǎo)致問題。 你不會希望用戶必須記住網(wǎng)站的 IP 地址。 相反，你希望能夠給你的網(wǎng)站一個吸引人的名字...... 用戶可以記住的東西。

這就是我們擁有域名系統(tǒng)（DNS）的原因。 瀏覽器使用 DNS 將站點名稱轉(zhuǎn)換為 IP 地址。 這個將域名轉(zhuǎn)換為 IP 地址的過程，稱為域名解析。

瀏覽器是如何做到這一點？

一種選擇是擁有一個大名單，比如瀏覽器中的電話簿。 但是，隨著新的網(wǎng)站上線，或者當(dāng)網(wǎng)站遷移到新的服務(wù)器時，很難將該列表保持在最新狀態(tài)。

因此，不是有一個記錄所有域名的列表，而是有很多較小的列表，這些列表相互關(guān)聯(lián)。 這使他們能夠獨立管理。

為了獲得與域名相對應(yīng)的 IP 地址，必須找到包含該域名的列表。 像尋寶一樣。

對于英文版維基百科（en.wikipedia.org）這樣的站點來說，它們是如何“尋寶”的？

我們可以將這個域分成幾部分。

通過這些部分，我們可以搜索包含該網(wǎng)站 IP 地址的列表。 不過，我們需要一些幫助。 為我們尋找 IP 地址的工具稱叫解析器。

首先，解析器與一個稱為根 DNS 的服務(wù)器通信。 它知道幾個不同的根 DNS 服務(wù)器，因此它將請求發(fā)送給其中的一個。 解析器向根 DNS 服務(wù)器詢問哪里可以找到有關(guān) org 頂級域名的更多信息。

根 DNS 將為解析器提供一個知道.org 地址的服務(wù)器的地址。

下一個服務(wù)器叫做 top-level domain 頂級域名服務(wù)器 (TLD)。 TLD 服務(wù)器知道所有以.org 結(jié)尾的二級域名。

但它并不知道 wikipedia.org 下的子域名，所以它不知道 en.wikipedia.org 的 IP 地址。

TLD 名稱服務(wù)器將告訴解析器詢問維基百科的名稱服務(wù)器。

解析工作快完成了。 維基百科的名字服務(wù)器及權(quán)限服務(wù)器。 它知道 wikipedia.org 下的所有域名。 所以這個服務(wù)器知道 en.wikipedia.org 和其他子域名，比如德文版 de.wikipedia.org。 權(quán)限服務(wù)器通知解析器哪個 IP 地址具有該站點的 HTML 文件。

解析器會將 en.wikipedia.org 的 IP 地址返回給操作系統(tǒng)。

這個過程被稱為遞歸解析，因為你必須來回詢問不同的服務(wù)器，基本上是同一個問題。

我們需要這樣的解析器來完成網(wǎng)絡(luò)請求。 但瀏覽器如何找到這個解析器？ 一般來說，它要求計算機的操作系統(tǒng)提供可用的解析器進行設(shè)置。

操作系統(tǒng)如何知道使用哪個解析器？ 有兩種可能的方法。

你可以為你的計算機配置一個信任的解析器。 但很少有人這樣做。

相反，大多數(shù)人只是使用默認值。 默認情況下，操作系統(tǒng)將只使用網(wǎng)絡(luò)告訴它的任何解析器。 當(dāng)計算機連接到網(wǎng)絡(luò)并獲取其 IP 地址時，網(wǎng)絡(luò)會推薦一個解析器。

這意味著解析器每天可以更改多次。 例如前往咖啡店參加下午的工作會議，就可能與早上使用的解析器不同。 即使你配置了解析器，這也是正確的，因為 DNS 協(xié)議沒有安全性。 

 

 

DNS 如何被利用？

 

那么這個系統(tǒng)如何讓用戶安全變得脆弱？

通常解析器會告訴每個 DNS 服務(wù)器你正在尋找哪個域名。 該請求有時會包含你的完整 IP 地址。 或者，如果不是完整的 IP 地址，請求中通常會包含你的大部分 IP 地址，這些 IP 地址可以輕松地與其他信息結(jié)合起來以找出你的身份。

這意味著進行域名解析的每臺服務(wù)器都會查看你要查找的網(wǎng)站。 但更重要的是，這也意味著通往這些服務(wù)器的任何人都可以看到你的請求。

這個系統(tǒng)有幾種方式會使用戶的數(shù)據(jù)處于危險之中。 兩大主要的風(fēng)險是跟蹤和欺騙攻擊。

 

 

跟   蹤

 

就像上面所說的那樣，很容易獲取全部或部分 IP 地址信息并找出誰在請求該網(wǎng)站。 這意味著 DNS 服務(wù)器和通向該 DNS 服務(wù)器的路徑上的任何其他路由器 (路徑路由器) 都可以創(chuàng)建一個關(guān)于你的文件。 他們可以創(chuàng)建一個你訪問過網(wǎng)站的記錄。

而且這些數(shù)據(jù)很有價值。 許多人和公司會花很多錢看你在瀏覽什么。

即使不必擔(dān)心可能的惡意 DNS 服務(wù)器或路徑路由器，仍有數(shù)據(jù)被收集的風(fēng)險。因為解析器本身 - 網(wǎng)絡(luò)提供給你的 - 可能并不可靠。

即使你信任網(wǎng)絡(luò)推薦的解析器，可能也只在家中使用該解析器。就像之前提到的那樣，每當(dāng)你去一家咖啡店或酒店或者使用接入其他網(wǎng)絡(luò)時，你可能會使用不同的解析器。誰知道它的數(shù)據(jù)收集政策是什么？

除了收集數(shù)據(jù)，然后在你不知情或不同意的情況下進行銷售之外，還有更危險的方式。

 

 

欺騙攻擊

 

借助欺騙，DNS 服務(wù)器和你之間的路徑上的某個人將更改響應(yīng)。而不是告訴你真正的 IP 地址，欺騙者會給你一個錯誤的 IP 地址。這樣，他們可以阻止訪問真實網(wǎng)站或?qū)⒛阋龑?dǎo)至欺詐網(wǎng)站。

再次，解析器本身可能使壞。

例如，假設(shè)在 Megastore 購物。你想做一個價格對比，看看是否能夠在 big-box.com 上獲得更便宜的價格。

但是如果你使用 Megastore 的 WiFi，你可能正在使用他們的解析器。該解析器可能會劫持對 big-box.com 的請求并對謊稱該網(wǎng)站不可用。

如何通過可信遞歸解析器（TRR）和基于 HTTPS 的 DNS（DoH）解決此問題？

在 Mozilla，我們強烈認為我們有責(zé)任保護用戶及其數(shù)據(jù)。我們一直在努力解決這些漏洞。

我們引入了兩項新功能來解決這個問題 - 可信遞歸解析器（Trusted Recursive Resolver ）和基于 HTTPS 的 DNS（DNS over HTTPS）。因為目前確實有三個威脅需要解決：

1. 可能會使用跟蹤你請求的不可信的解析器，或者篡改來自 DNS 服務(wù)器的響應(yīng)。

2. 路徑上路由器可以以相同的方式跟蹤或篡改。

3. DNS 服務(wù)器可以跟蹤你的 DNS 請求。

如何解決這些問題？

1. 使用可信遞歸解析器避免不可靠的解析器。

2. 通過基于 HTTPS 的 DNS 防止路徑上的竊聽和篡改。

3. 傳輸盡可能少的數(shù)據(jù)，以保護用戶免受匿名處理。

使用可信遞歸解析器避免不可靠的解析器

當(dāng)網(wǎng)絡(luò)提供了不可信的解析器來收集你的數(shù)據(jù)或進行欺騙攻擊，網(wǎng)絡(luò)服務(wù)的提供者依然可以全身而退，因為很少有用戶知道風(fēng)險或如何保護自己。

即使對于了解風(fēng)險的用戶，個人用戶也很難與他們的 ISP 或其他實體進行協(xié)商，以確保他們的 DNS 數(shù)據(jù)得到負責(zé)任的處理。

但是，我們花時間研究這些風(fēng)險...... 并且我們有了談判權(quán)力。 我們努力尋找一家公司可以合作來保護用戶的 DNS 數(shù)據(jù)。 我們找到了一個：Cloudflare。

Cloudflare 通過專業(yè)用戶隱私政策提供遞歸解析服務(wù)。他們承諾在 24 小時后丟棄所有可識別個人身份的數(shù)據(jù)，并且決不會將這些數(shù)據(jù)傳遞給第三方。并會定期進行審計，以確保數(shù)據(jù)按預(yù)期清除。

現(xiàn)在，我們有一個可以信賴的解析器來保護用戶的隱私。這意味著 Firefox 可以忽略網(wǎng)絡(luò)提供的解析器，并直接轉(zhuǎn)到 Cloudflare。有了這個可靠的解析器，我們不必擔(dān)心流氓解析器出售我們的用戶數(shù)據(jù)或用欺騙性 DNS 來欺騙我們的用戶。

我們?yōu)槭裁催x擇這樣一個解析器？ Cloudflare 與我們一樣致力于構(gòu)建隱私優(yōu)先的 DNS 服務(wù)。他們與我們合作建立了一個 DoH 解決方案服務(wù)，以透明的方式為用戶提供服務(wù)。他們一直非常樂意為服務(wù)添加用戶保護，所以我們很高興能夠與他們合作。

但這并不意味著你必須使用 Cloudflare。用戶可以配置 Firefox 使用他們想要的任何支持 DoH 的遞歸解析器。隨著更多產(chǎn)品的出現(xiàn)，我們會讓解析器的切換變得簡單。

通過基于 HTTPS 的 DNS 防止路徑上的竊聽和篡改

雖然解析器不是唯一的威脅。路徑上路由器可以跟蹤和欺騙 DNS，因為他們可以看到 DNS 請求和響應(yīng)的內(nèi)容。但是互聯(lián)網(wǎng)已經(jīng)有了確保路徑上路由器不能像這樣竊聽的技術(shù)。這是我之前提到的加密技術(shù)。

通過使用 HTTPS 加密 DNS 數(shù)據(jù)包，可以確保沒有人能夠監(jiān)視用戶正在做出的 DNS 請求。

傳輸盡可能少的數(shù)據(jù)以保護用戶免受匿名處理

除了提供使用 DoH 協(xié)議進行通信的可信解析器之外，Cloudflare 正在與我們合作，使其更安全。

通常情況下，解析器會將整個域名發(fā)送給每個服務(wù)器 - 根 DNS 服務(wù)器，TLD 名稱服務(wù)器，二級名稱服務(wù)器等。但是 Cloudflare 會做一些不同的事情。它只會發(fā)送與當(dāng)前正在與之通話的 DNS 服務(wù)器相關(guān)的部分。這被稱為 QNAME 最小化。

解析器通常也會在請求中包含你的 IP 地址的前 24 位。 這有助于 DNS 服務(wù)器知道你的位置，并選擇離你更近的 CDN。 但是這些信息可以被 DNS 服務(wù)器用來將不同的請求鏈接在一起。

Cloudflare 不會這樣做，而是從用戶附近的一個 IP 地址發(fā)出請求。 這提供了地理位置，而無需將其綁定到特定用戶。 除此之外，我們正在研究如何以隱私敏感的方式更好的實現(xiàn)，非常細粒度的負載平衡。

這樣做 - 刪除域名中不相關(guān)的部分并且不包括你的 IP 地址 - 意味著 DNS 服務(wù)器所收集的關(guān)于你的數(shù)據(jù)要少得多。

基于 DoH 的 TRR 還未解決的問題

通過這些解決方案，我們減少了可以看到你訪問網(wǎng)站的人數(shù)。但是這并不能完全消除數(shù)據(jù)泄漏。

在執(zhí)行 DNS 查找到 IP 地址后，你仍然需要連接到該地址的 Web 服務(wù)器。為此，發(fā)送初始請求。該請求包含一個服務(wù)器名稱指示，該信息指出要連接的服務(wù)器上的哪個站點。這個請求是未加密的。

這意味著你的 ISP 仍然可以找出正在訪問的網(wǎng)站，因為它正好在服務(wù)器名稱指示中。另外，將來自瀏覽器的初始請求傳遞給 Web 服務(wù)器的路由器也可以看到這些信息。

但是，一旦你建立了與 Web 服務(wù)器的連接，那么一切都是加密的。并且這個加密的連接可以用于該服務(wù)器上托管的任何站點，而不僅僅是最初要求的那個站點。

這稱為 HTTP / 2 連接合并，或簡單地連接重用。當(dāng)你打開一個連接到支持它的服務(wù)器時，該服務(wù)器會告訴你它托管了哪些其他的站點。然后，你可以使用現(xiàn)有的加密連接訪問其他網(wǎng)站。

這樣有什么好處？ 無需啟動新連接即可訪問這些其他網(wǎng)站。 這意味著你不需要發(fā)送未加密的初始請求，其服務(wù)器名稱指示正在訪問的站點。 這樣可以訪問同一臺服務(wù)器上的任何其他站點，而無需透露你正在查看的站點到網(wǎng)絡(luò)服務(wù)提供商和路徑路由器。

隨著 CDN 的興起，越來越多的獨立站點由一臺服務(wù)器提供服務(wù)。 由于可以打開多個合并連接，因此可以同時連接到多個共享服務(wù)器或 CDN，訪問不同服務(wù)器上的所有站點而不會泄露數(shù)據(jù)。 這意味著隱私保護越來越有效。

原文鏈接： https://hacks.mozilla.org/2018/05/a-cartoon-intro-to-dns-over-https/

 

 

作者簡介

Lin-Clark，Mozilla 開發(fā)者關(guān)系團隊的一名工程師。她使用 JavaScript，WebAssembly，Rust 和 Servo，同時會繪制代碼圖解。

西部數(shù)碼SSL證書服務(wù)：

詳情請戳：http://bingfeng168.cn/2018/ssl.asp

西部數(shù)碼提供SSL證書服務(wù)，價格低至299/年；西部數(shù)碼為活動期間購買的用戶提供免費安裝ssl證書的技術(shù)支持服務(wù)，免費定制安全解決方案，讓數(shù)據(jù)更安全！有任何問題可隨時咨詢在線客服！

標簽： dns https DNS安全方案

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。