多家科技巨头,包括微软、谷歌和 Mozilla,正在积极推动基于 HTTPS 的 DNS (DoH) 技术。此项技术旨在加密 DNS 查询,从而提升在线隐私和安全性。然而,它也存在争议:康卡斯特正游说反对 DoH。以下是你需要了解的相关信息。
什么是 HTTPS DNS?
当前,网络世界正朝着全面加密的方向发展。如今,你访问的大多数网站可能都采用了 HTTPS 加密。 现代网络浏览器,例如 Chrome,现在会将任何使用标准 HTTP 的网站标记为“不安全”。HTTP/3 是 HTTP 协议的最新版本,它内置了加密功能。
这种加密确保在浏览网页时,没有任何人可以篡改页面内容或窥探你的网络行为。例如,当您访问 Wikipedia.org 时,网络运营商(无论是公共 Wi-Fi 热点还是你的 ISP)只能看到您连接到了 wikipedia.org。他们无法得知你正在阅读的具体文章,也无法在传输过程中修改维基百科的内容。
然而,在加密进程中,DNS 似乎被落在了后面。域名系统(DNS)使得通过域名(如 google.com)而非数字 IP 地址连接到网站成为可能。当你输入一个域名时,你的系统会联系其配置的 DNS 服务器,获取与该域名对应的 IP 地址,然后连接到该 IP 地址。
到目前为止,这些 DNS 查询通常是不加密的。当你连接到一个网站时,你的系统会发送一个请求,声明你正在查找与该域名关联的 IP 地址。任何中间人(可能是你的 ISP,也可能是公共 Wi-Fi 热点)都可以记录你正在连接的域名。
HTTPS 上的 DNS 技术有效地解决了这个问题。通过 DoH,你的系统将与你的 DNS 服务器建立安全、加密的连接,并通过该连接传输请求和响应。任何中间人都无法看到你正在查询的域名,也无法篡改响应。
目前,大多数用户使用其互联网服务提供商 (ISP) 提供的 DNS 服务器。然而,也有许多第三方 DNS 服务器可供选择,例如 Cloudflare 的 1.1.1.1、谷歌公共 DNS 和 OpenDNS。这些第三方提供商是最早启用基于 HTTPS 的 DNS 服务器端支持的机构之一。要使用 DoH,你需要一个支持 DoH 的 DNS 服务器以及一个支持 DoH 的客户端(例如,Web 浏览器或操作系统)。
谁将支持 DoH?
谷歌和 Mozilla 已在其 Chrome 和 Firefox 浏览器中测试了 HTTPS DNS 功能。2019 年 11 月 17 日,微软宣布将在 Windows 网络堆栈中采用 HTTPS DNS。 这将确保 Windows 上的每个应用程序都能从 DoH 中受益,而无需专门为此进行编码。
谷歌表示,从 Chrome 79 开始,它将为 1% 的用户默认启用 DoH,预计该版本将于 2019 年 12 月 10 日发布。当该版本发布后,你还可以通过访问 chrome://flags/#dns-over-https 来手动启用此功能。
Mozilla 宣称,它将在 2019 年为所有用户启用 HTTPS DNS。在当前稳定的 Firefox 版本中,你可以在菜单栏中找到 “选项” > “常规”,向下滚动,然后点击 “网络设置” 下的 “设置”,以找到此选项。激活 “启用通过 HTTPS 的 DNS” 即可。
虽然苹果尚未就其 HTTPS DNS 计划发表评论,但我们预计该公司将紧随其后,在 iOS 和 macOS 中实现对 DoH 的支持,并推动行业采用该技术。
尽管目前尚未为所有用户默认启用 DoH,但基于 HTTPS 的 DNS 技术在普及后,必将使互联网使用更加私密和安全。
为什么康卡斯特反对它?
到目前为止,这似乎并没有什么争议,但事实并非如此。康卡斯特显然一直在游说国会阻止谷歌推出 HTTPS DNS 技术。
在提交给立法机构的演示文稿中(该演示文稿被 Motherboard 获取),康卡斯特辩称谷歌正在推行一个“单方面计划”(与 Mozilla 一起),以激活 DoH 并“将全球大部分 DNS 数据集中到谷歌手中”,这将“标志着互联网架构去中心化本质的根本转变”。
坦率地说,这在很大程度上是错误的。Mozilla 的 Marshell Erwin 告诉 Motherboard,“这些幻灯片整体上极具误导性和不准确。”在博文中,Chrome 产品经理 Kenji Beaheux 指出,Chrome 不会强制任何人更改其 DNS 提供商。Chrome 会尊重系统当前的 DNS 提供商,如果当前的 DNS 提供商不支持 HTTPS DNS,Chrome 也不会使用 DoH。
而且,微软此后宣布了在 Windows 操作系统级别支持 DoH 的计划。在微软、谷歌和 Mozilla 的支持下,这几乎不算是谷歌的“单方面”计划。
一些人认为,康卡斯特不喜欢 DoH,因为它将无法再收集 DNS 查询数据。然而,康卡斯特 承诺不会监控用户的 DNS 查询。该公司坚称它支持加密 DNS,但希望看到一个“协作的、全行业的解决方案”,而不是“单方面行动”。康卡斯特的信息相当混乱——其反对 DoH 的论点显然是针对立法者而非公众。
HTTPS 上的 DNS 如何运作?
暂且不考虑康卡斯特的奇怪反对,让我们来了解一下 HTTPS DNS 的工作原理。当 DoH 支持在 Chrome 中生效时,Chrome 只会在系统当前的 DNS 服务器支持 DoH 时才使用 HTTPS DNS。
换句话说,如果你的互联网服务提供商是康卡斯特,而康卡斯特拒绝支持 DoH,那么 Chrome 将像现在一样工作,而不加密你的 DNS 查询。如果你配置了其他 DNS 服务器(例如,你选择了 Cloudflare DNS、谷歌公共 DNS 或 OpenDNS,或者你的 ISP 的 DNS 服务器实际上支持 DoH),那么 Chrome 将使用加密方式与你当前的 DNS 服务器通信,自动 “升级” 连接。用户可以选择放弃不提供 DoH 的 DNS 提供商(比如康卡斯特),但 Chrome 不会自动这样做。
这也意味着任何使用 DNS 的内容过滤解决方案都不会中断。如果你使用 OpenDNS 并配置了阻止某些网站的规则,那么 Chrome 会将 OpenDNS 保留为你的默认 DNS 服务器,并且不会发生任何更改。
Firefox 的工作方式略有不同。Mozilla 选择与 Cloudflare 合作,作为 Firefox 在美国的加密 DNS 提供商。即使你配置了不同的 DNS 服务器,Firefox 也会将你的 DNS 请求发送到 Cloudflare 的 1.1.1.1 DNS 服务器。Firefox 允许你禁用此功能或使用自定义加密 DNS 提供程序,但 Cloudflare 将是默认设置。
微软表示,Windows 10 中的 HTTPS DNS 的工作方式与 Chrome 类似。Windows 10 将遵循你的默认 DNS 服务器,并且仅在你选择的 DNS 服务器支持 DoH 时才启用 DoH。然而,微软表示,它将引导 “注重隐私的 Windows 用户和管理员” 进行 DNS 服务器设置。
Windows 10 可能会鼓励你将 DNS 服务器切换到受 DoH 保护的服务器,但微软表示 Windows 不会自动为你进行切换。