Mozilla将通过和加拿大互联网注册核发机构(Canada Internet Registration Authority,CIRA)合作,将DNS over HTTPS(DoH)服务推向加拿大,成为继去年初美国之后的第二个国家。
传统DNS查询恐让用户暴露风险中。浏览器查询DNS,由DNS解析器将用户输入的域名翻译成IP,例如将www.ithome.com.tw翻译成220.130.119.130回传用户端,再将用户连去目的地IP。然而过去用户端浏览器到DNS服务器的查询流量为明文发送,可能让中途劫持流量的攻击者得知用户端,包括用户地点及设备环境。此外,若让恶意DNS服务器掌握用户流量,也会使用户陷入风险。
Mozilla通过DNS over HTTPS(DoH)及可信递归解析器(Trusted Recursive Resolver,TRR)两项计划来解决这个问题。前者加密用户端到DNS解析器的流量,后者则找来合作伙伴提供可信任的DNS解析服务。Mozilla说明,TRR计划的目的是确保处理用户DNS资料的解析器厂商的行为,包括限制搜集和保留DNS查询资料、若保留也要公开透明、同时限制利用解析器访问或修改流量内容。
在此之前,已经有Cloudflare、NextDNS和Comcast加入Mozilla的TRR计划。CIRA则是加入TRR计划的最新成员,也是第一个只提供单一国DoH服务的TRR成员。
在这项计划下,加拿大版Firefox用户将会在浏览器DoH设置中,看到CIRA Canadian Shield列为默认的解析服务供应商。CIRA依赖外部伙伴,包括Akamai及加拿大儿童保护中心、加拿大网络安全中心提供的域名黑名单进行过滤。而自上线以来,每天至少为一位用户拦截1个恶意域名。
用户可以关闭DoH或是选择其他DoH供应商。从7月20日开始,CIRA Canadian Shield将推向1%加拿大Firefox用户,之后渐次增加,到9月达到100%。