Mozilla预计将在9月初Firefox 62中使用可信递归解析器(Trusted Recursive Resolver,TRR)与DNS over HTTPS(DOH)技术,以HTTPS发送DNS封包,弥补现行DNS系统使用UDP以及TCP协议明码传输请求的安全性疑虑,想尝鲜的用户可以在Firefox Nightly版本中手动打开。
传统的DNS让用户曝露在风险中,Mozilla解释,解析器(Resolver)会告诉每一台DNS服务器用户查找的域名,而这些信息可能包含用户完整的IP位置,而且即使只有部分IP信息,有心人士也可以结合其他信息,识别出用户的身份,另外,查找域名的过程,让每一台服务器都知道用户要找查的网站,也就是说,路径上的任何人都可以看到用户请求。这造成两个主要的风险,用户可能被关注(Tracking)或是欺骗(Spoofing)。
即使用户不需要担心恶意的DNS服务器,但是一般的解析器或是DNS服务器,也可能进行着超出用户预料的行为。除了上面提到域名查找的信息可能透漏用户身份外,查找路径上的路由器都能创建用户的文件,并收集这些查找纪录。 Mozilla提到,特别是常会到公共场所使用网络的用户,很难确定不同的解析器使用的隐私政策,可能在不知情的状况下,个人数据遭到销售。
如果运气不好,用户还可能会碰到具欺骗行为的解析器,最糟的情况可能是用户查找了某网站网域的IP位置,恶意解析器提供恶意的IP,导致用户受黑。好一点的情况可能是,用户在A实体店面购物,想要上网查找竞争商家B同样商品价格,用户刚好使用A店家的无线网络,而该网络解析器可能劫持用户对B店家的流量,欺骗用户该网络无法访问。
为了解决以上这些传统DNS系统带来的风险,Mozilla在Firefox中采用TRR以及DOH技术。 TRR可以避免不可信的解析器,而DOH则可以防止查找路径上的窃听与篡改,另外,Firefox还最小化传输的数据,在这去匿名化环境中保护用户隐私。
由于一般的ISP可能不支持这些技术,因此目前Mozilla找来了合作伙伴Cloudflare,创建支持DOH技术的TRR。有了可信的解析器,用户的查找数据就不会有被转售或是泄漏的危机。 Mozilla提到,Cloudflare对TRR用户的隐私政策,承诺在24小时后丢弃所有可识别个人身份的信息,也不会将这些数据转送给第三方,并且定期审查确保每一个环节符合预期。当然用户也不一定要使用Cloudflare,可以选用自己喜欢的TRR。除了不可信的解析器风险外,查找路径上的路由器也是安全威胁之一,Mozilla表示,使用DOH技术,将能让DNS请求以及回应受到加密保护,让旁人无法轻易窃取。
另外,Mozilla提到他们正与Cloudflare合作,尽可能降低传输的查找数据量,在去匿名化的环境保护用户隐私。一般情况解析器会将整个域名发送给每一个服务器,包括根DNS、顶级域名服务器还有二级域名服务器等,但现在Cloudflare使用QNAME最小化技术,只发送用户当前沟通的DNS相关部分。
还有,解析器通常会请求用户IP位置的前24比特信息,而这有助于DNS知道用户的位置,借以选择距离最近的CDN,但Cloudflare则会发送给DNS在用户附近的IP位置,除了一样可以提供地理信息外,还能隐藏用户身份。
不过,在查找了网域IP后,用户要连接该网页服务器时,会发送服务器名称指示,这项请求是未加密的,因此ISP仍然可以知道用户欲浏览的网站,但只要用户与网站创建连接后,则一切都是加密进行了。预计在9月上线的Firefox 62将会正式提供DOH技术,但用户现在就能使用Firefox Nightly版本尝鲜。