在Android 9 Pie上啟用.1的私有DNS

8月7日，Google 正式對外發布了Android 9，並將其命名為 Pie，Android 9更新了一系列的數字應用、安全和隱私等新功能。如果有用戶曾在beta測試版運用過，就會發現到Android 9也支持最新的DNS模式。

Android Pie的新功能簡化了在Android配置自定義安全的DNS解析程序，當網站提供DNS服務時，客戶端和網站伺服器就會自動進行加密，第三方無法窺視DNS查詢。因為Android 9內置對DNS over TLS的支持。同時該TLS還負責自動默認HTTPS訪問網站，在地址欄可看到綠色安全鎖圖標。這可確保不會被ISP、移動運營商以及客戶端與DNS解析程序之間的第三方篡改內容或無法解析。

配置1.1.1.1 Android Pie支持DNS over TLS，但此前提需要在設備上啟用該功能，具體的操作方法是：

1、設置——網路和互聯網——高級——私有DNS

2、選擇「專用DNS提供程序主機名」選項。

3、輸入1dot1dot1dot1.cloudflare-dns.com並點擊保存。

4、訪問1.1.1.1/help（或1.0.0.1/help）以驗證「使用DNS over TLS（DoT）」顯示為「是」。

為什麼要使用私有DNS？

基於TLS的HTTPS和DNS是如何適應當前的互聯網隱私狀態的？

TLS是一種通過不可信的通信渠道加密的協議，如咖啡店裡，用戶的設備連接了公共無線網路瀏覽電子郵件時。即使使用了TLS，仍舊無法監控到客戶端與DNS伺服器的連接是否有被劫持或第三方窺視。尤其是當你不小心鏈接了開放熱點，網路犯罪分子可以通過偽造客戶端的DNS記錄來劫持郵件伺服器和網上銀行的連接。儘管DNSSEC通過簽署響應來解決真實性的問題，可檢測到篡改行為，但是這會讓其他第三方都可以讀取傳輸的內容。

遇到這種情況，可以通過HTTPS/TLS來解決，因為這些加密協議可對客戶端與解析器之間的通信進行加密，就如現在流行的HTTPS加密協議。

但這一系列操作的最後一環可能會存在不安全因素，即在終端設備和伺服器上的特定主機名之間的初始TLS協商期間會顯示伺服器名稱指示。發送請求的主機名沒加密，第三方仍可查看客戶端的訪問記錄。因此，在技術仍然存在漏洞的情況下，使用安全可信的網路是十分重要的。

IPv6與DNS 不少用戶都發現了私有DNS欄位並不接受類似1.1.1.1這樣簡單的IP地址，而是需要一個主機名，如1dot1dot1dot1.cloudflare-dns.com。

Google之所以要求私有DNS欄位是主機名而非IP地址，這是因為考慮到移動運營商需要兼顧IPv4和IPv6共存的「雙棧世界」。現在越來越多的組織開始使用IPv6，在美國，主營的移動運營商都支持IPv6。據不完全統計，目前約有260億的互聯網連接設備，僅有43億個IPv4地址。因此，連Apple都要求所有新的iOS應用程序必須支持單棧IPv6網路。

但是，目前我們仍處於一個擁有IPv4地址的世界，因此手機製造商和運營商必須要考慮到日後的兼容性問題。目前，iOS和Android同時請求A和AAAA DNS記錄，其中分別包含對應於版本4和版本6格式域名的IP地址。

$ dig A +short 1dot1dot1dot1.cloudflare-dns.com

1.0.0.1

1.1.1.1

$ dig AAAA +short 1dot1dot1dot1.cloudflare-dns.com

2606:4700:4700::1001

2606:4700:4700::1111

要通過僅IPv6網路與僅具有IPv4地址的設備通信，DNS解析器必須使用DNS64將IPv4地址轉換為IPv6地址。然後，對那些轉換的IP地址的請求，通過網路運營商提供的NAT64轉換服務。這一過程對設備和Web伺服器是完全透明的。

文章翻譯於cloudflare

文章轉載https://www.trustauth.cn/wiki/26299.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！