DNS over TLS：保護網路流覽安全

時間＼2017-11-13

隨著HTTPS的大量使用，大家對SSL證書的認識也越來越熟悉。SSL證書是為用戶端和網站服務端之間搭建加密連接，SSL證書生效期間，用戶端與服務端之間的資訊和活動行為都被加密，使協力廠商無法窺視。

但SSL證書是無法防止網路運營商（ISP）監控使用者的網路行為，而DNS over TLS卻可以幫助用戶避免這種被監控行為。

什麼是DNS over TLS？

DNS over TLS也是一種安全協定，它可以使所有和DNS伺服器相關的連結強制使用TLS。TLS（中文為傳輸層安全性）是SSL的繼承者。在日常中我們把SSL當成TLS的俗稱，其實SSL並不是一種安全的協議，並快速被TLS取代。而我們常說的SSL證書其實是TLS證書。因此當我們在討論TLS時，實際在談論SSL的概念。

什麼是DNS伺服器？

DNS指功能變數名稱伺服器。DNS伺服器的作用是將用戶輸入的網址轉換為電腦在網站服務時識別的IP位址。當用戶在流覽器輸入網站，輸入的是URL或者統一資源定位器時。後臺，用戶的流覽器正在與DNS伺服器建立連接，該伺服器將該URL轉換為IP位址，

該IP位址用於伺服器上的檔，而這一回應迅速後臺發生。然而，大多數DNS的請求都是以明文形式出現的，這意味著即使用戶流覽網站使用了SSL，相關的ISP仍舊可以監控到其網路行為。

DNS over TLS的實現

其實TLS over TLS在RFC 7858中就被指定。它要求所有DNS資料都通過TLS埠傳輸。使用TCP快速打開時，必須立即啟動TLS握手。

而這完全取決於DNS行業。如果伺服器配備了SSL / TLS，則DNS over TLS就在其功能之內。因此主要看伺服器是否支援這一技術的使用。

早前，Android宣佈將為所有應用程式添加DNS over TLS，主要考慮到Google的DNS伺服器已經支持通過DNS over TLS。因此想通過TLS啟用DNS，只需要找到一個支持DNS over TLS的伺服器即可。

同時，作為國內網路資訊安全服務商，數安時代也推薦各大用戶使用DNS over TLS，正如Google建議用戶在網站上啟用HSTS一樣。SSL / TLS是一個很好的安全工具，雖然它不能完全杜絕網路攻擊。但只有正確的配置實現到最大化，才能實現真正安全！

文章來源於：https://www.trustauth.cn/wiki/22990.html