随着HTTPS的大量使用,大家对SSL证书的认识也越来越熟悉。SSL证书是为客户端和网站服务端之间搭建加密连接,SSL证书生效期间,客户端与服务端之间的信息和活动行为都被加密,使第三方无法窥视。但SSL证书是无法防止网络运营商(ISP)监控用户的网络行为,而DNS over TLS却可以帮助用户避免这种被监控行为。
什么是DNS over TLS?
DNS over TLS也是一种安全协议,它可以使所有和DNS服务器相关的链接强制使用TLS。TLS(中文为传输层安全性)是SSL的继承者。在日常中我们把SSL当成TLS的俗称,其实SSL并不是一种安全的协议,并快速被TLS取代。而我们常说的SSL证书其实是TLS证书。因此当我们在讨论TLS时,实际在谈论SSL的概念。
什么是DNS服务器?
DNS指域名服务器。DNS服务器的作用是将用户输入的网址转换为计算机在网站服务时识别的IP地址。当用户在浏览器输入网站,输入的是URL或者统一资源定位器时。后台,用户的浏览器正在与DNS服务器建立连接,该服务器将该URL转换为IP地址,该IP地址用于服务器上的文件,而这一响应迅速后台发生。然而,大多数DNS的请求都是以明文形式出现的,这意味着即使用户浏览网站使用了SSL,相关的ISP仍旧可以监控到其网络行为。
DNS over TLS的实现
其实TLS over TLS在RFC 7858中就被指定。它要求所有DNS数据都通过TLS端口传输。使用TCP快速打开时,必须立即启动TLS握手。
而这完全取决于DNS行业。如果服务器配备了SSL / TLS,则DNS over TLS就在其功能之内。因此主要看服务器是否支持这一技术的使用。
早前,Android宣布将为所有应用程序添加DNS over TLS,主要考虑到Google的DNS服务器已经支持通过DNS over TLS。因此想通过TLS启用DNS,只需要找到一个支持DNS over TLS的服务器即可。
同时,作为国内网络信息安全服务商,数安时代也推荐各大用户使用DNS over TLS,正如Google建议用户在网站上启用HSTS一样。SSL / TLS是一个很好的安全工具,虽然它不能完全杜绝网络攻击。但只有正确的配置实现到最大化,才能实现真正安全!
