谷歌Chrome加密DNS活動(dòng)的利弊

由于安全版的原始HTTP協(xié)議HTTPS的擴(kuò)展，今天大部分的互聯(lián)網(wǎng)通信都是加密的，這改善了你的隱私，保護(hù)你的瀏覽數(shù)據(jù)不被竊聽(tīng)者發(fā)現(xiàn)。如果你訪問(wèn)一個(gè)未加密的網(wǎng)站，像谷歌Chrome和Firefox這樣的主流瀏覽器會(huì)警告你。

但是，雖然進(jìn)步很大，但并不是所有的互聯(lián)網(wǎng)流量都被加密了。域名系統(tǒng)(DNS)，用于將域名(如google.com)轉(zhuǎn)換為IP地址(如74.125.157.99)的協(xié)議，仍然是純文本形式，它可以揭示很多關(guān)于您的瀏覽習(xí)慣。

近年來(lái)引入的https協(xié)議，通過(guò)在你的DNS數(shù)據(jù)包中增加一層加密，提高了你的瀏覽體驗(yàn)隱私。自2017年以來(lái)，F(xiàn)irefox率先嘗試支持DNS-over-HTTPS。谷歌Chrome在78版中增加了對(duì)DoH的實(shí)驗(yàn)支持。谷歌將在12月推出79版本，默認(rèn)情況下為1%的Chrome用戶提供支持。

由于Chrome是65%以上用戶的首選瀏覽器，DoH的實(shí)現(xiàn)可能會(huì)對(duì)瀏覽隱私產(chǎn)生深遠(yuǎn)影響。以下是你需要知道的關(guān)于https上的dns的隱私好處和限制。

在internet(以及本地、離線網(wǎng)絡(luò))上，每臺(tái)計(jì)算機(jī)都有一個(gè)IP地址，它由四個(gè)數(shù)字組成(例如，74.125.157.99)。當(dāng)計(jì)算機(jī)希望彼此通信(例如瀏覽網(wǎng)站)時(shí)，它們必須指定目的地的IP地址。但是人類的大腦并不是很擅長(zhǎng)記住數(shù)字序列(想象一下必須記住數(shù)千個(gè)IP地址)。

這就是為什么網(wǎng)絡(luò)科學(xué)家創(chuàng)造了DNS協(xié)議，它允許你使用域名(對(duì)人類來(lái)說(shuō)更容易記住)來(lái)指代網(wǎng)絡(luò)上的計(jì)算機(jī)。只要你輸入一個(gè)網(wǎng)站的地址(比如en.wikipedia.org)，你的電腦就會(huì)向你的DNS解析器(通常是你的互聯(lián)網(wǎng)服務(wù)提供商)發(fā)送一個(gè)DNS請(qǐng)求。然后，解析器與一系列DNS服務(wù)器進(jìn)行通信，以查找要連接的網(wǎng)站或服務(wù)的IP地址。

這就是事情變得有點(diǎn)糟糕的地方。您發(fā)送的DNS請(qǐng)求未加密。它包含您請(qǐng)求的域和您自己的IP地址的一部分。任何偷聽(tīng)你的互聯(lián)網(wǎng)流量的人都可以登錄你瀏覽的所有網(wǎng)站。這包括您的internet服務(wù)提供商(ISP)、將您的請(qǐng)求路由到DNS服務(wù)器的服務(wù)器、您在本地咖啡店或圖書(shū)館使用的Wi-Fi網(wǎng)絡(luò)的所有者、政府機(jī)構(gòu)或任何有足夠技術(shù)來(lái)設(shè)置網(wǎng)絡(luò)監(jiān)視工具的人。

在某些情況下，惡意的參與者可以攔截請(qǐng)求并返回假的IP地址將您重定向到惡意網(wǎng)站。

DoH背后的基本思想是向您的DNS請(qǐng)求添加一層加密，使其內(nèi)容對(duì)不需要的方不可見(jiàn)。當(dāng)您使用DNS-over-HTTPS時(shí)，您的瀏覽器將加密您的DNS請(qǐng)求并將其偽裝成HTTPS包。然后，它將它們發(fā)送到一個(gè)可信的DoH解析器，該解析器執(zhí)行其余的跑腿工作，向DNS服務(wù)器發(fā)送消息并解析您想訪問(wèn)的網(wǎng)站地址。

監(jiān)視您的internet流量的竊聽(tīng)者將無(wú)法跟蹤您的DNS流量。此外，DoH服務(wù)器采取預(yù)防措施，以避免向解析該地址的DNS服務(wù)器泄露您的IP地址。

自78版以來(lái)，谷歌增加了對(duì)DNS-over-HTTPS的支持。它仍處于試驗(yàn)階段，因此啟用它并不是那么容易。要訪問(wèn)實(shí)驗(yàn)特性，您必須在地址欄中輸入“chrome://flags”。這就引出了Chrome的實(shí)驗(yàn)特性。

找到名為“安全DNS查找”的功能，并將其設(shè)置為“啟用”。(你可以使用頁(yè)面頂部的搜索欄來(lái)快速找到它?；蛘?，你可以在地址欄中輸入“chrome://flags#dns-over-https”，直接進(jìn)入chrome的DoH設(shè)置)

啟用此功能后，您必須重新啟動(dòng)谷歌Chrome，以使DNS-over-HTTPS功能生效。

這里有個(gè)陷阱。在谷歌Chrome中切換DoH標(biāo)志并不足以使您的DNS請(qǐng)求私有。使用DNS-over-HTTPS需要做兩件事:

現(xiàn)在有幾個(gè)可信的DoH解析器，包括Cloudflare (IP: 1.1.1.1)和谷歌(IP: 8.8.8.8)。但這并不意味著你的電腦正在使用它們。

默認(rèn)情況下，大多數(shù)計(jì)算機(jī)使用ISP或網(wǎng)絡(luò)管理員提供的默認(rèn)DNS解析器。如果你的解析器不支持DoH，啟用谷歌Chrome的DoH標(biāo)志不會(huì)有什么區(qū)別。

要查看你的瀏覽器是否真的啟用了DNS-over-HTTPS，請(qǐng)轉(zhuǎn)到Cloudflare的安全檢查頁(yè)面，點(diǎn)擊“檢查我的瀏覽器”按鈕。如果您的DoH設(shè)置正常工作，您應(yīng)該在安全DNS列旁邊看到一個(gè)綠色的復(fù)選標(biāo)記。

如果您的安全DNS列仍然有一個(gè)紅色或橙色圖標(biāo)后，啟用Chrome的DoH功能，嘗試手動(dòng)設(shè)置您的DNS解析器“1.1.1.1”或“8.8.8.8”。(你可以在Windows 10here和MacOShere中找到調(diào)整DNS設(shè)置的說(shuō)明。)

雖然DNS-over-HTTPS增強(qiáng)了谷歌Chrome瀏覽器的瀏覽隱私，但它并不是一個(gè)完美的解決方案。這里有一些事情需要考慮:

DoH不會(huì)阻止ISP追蹤:互聯(lián)網(wǎng)用戶最關(guān)心的隱私問(wèn)題之一是他們的ISP追蹤他們的瀏覽習(xí)慣并將其賣(mài)給廣告商。讀取DNS請(qǐng)求是isp用來(lái)跟蹤您的瀏覽的主要方法之一。但即使他們沒(méi)有訪問(wèn)你的DNS數(shù)據(jù)包，他們可以知道你正在訪問(wèn)哪些網(wǎng)站，因?yàn)槟愕腍TTPS請(qǐng)求仍然會(huì)通過(guò)他們。雖然HTTPS加密請(qǐng)求表單數(shù)據(jù)(用戶名、密碼、地址、電話號(hào)碼等)和頁(yè)面細(xì)節(jié)等內(nèi)容，但它仍然會(huì)顯示您訪問(wèn)的網(wǎng)站域。

這方面的一個(gè)考慮是DoH傳播到內(nèi)容傳遞網(wǎng)絡(luò)(CDNs)。CDN本地節(jié)點(diǎn)通常在一臺(tái)服務(wù)器上托管多個(gè)網(wǎng)站，它們將能夠使用一個(gè)稱為“連接合并”的特性來(lái)顯示關(guān)于您訪問(wèn)的域的更少信息。但這還沒(méi)有完全實(shí)現(xiàn)。

DoH可能會(huì)破壞一些安全工具:許多端點(diǎn)安全工具和智能防火墻使用DNS請(qǐng)求來(lái)檢測(cè)和防止連接到惡意域。DoH可能會(huì)破壞這些工具的功能。

DoH不會(huì)保護(hù)未加密網(wǎng)站中的數(shù)據(jù)。雖然對(duì)web進(jìn)行加密已經(jīng)取得了很大的進(jìn)展，但是仍然有很多網(wǎng)站使用未加密的HTTP協(xié)議。這些網(wǎng)站把你所有的信息暴露給竊聽(tīng)者和網(wǎng)絡(luò)網(wǎng)關(guān)。使用DNS-over-HTTPS將不會(huì)保護(hù)您與這些網(wǎng)站交換的數(shù)據(jù)。

盡管如此，對(duì)于谷歌Chrome和其他瀏覽器來(lái)說(shuō)，DNS-over-HTTPS是一個(gè)很好的隱私改進(jìn)，特別是在將來(lái)使用它將變得相對(duì)瑣碎。如果你想要完全的隱私，考慮使用虛擬專用網(wǎng)(VPN)，它為你所有的網(wǎng)絡(luò)流量增加了一層加密，甚至隱藏了你通信的域。