众视媒体获悉,Mozilla预计将在9月初Firefox 62中使用可信递归解析器(Trusted Recursive Resolver,TRR)与DNS over HTTPS(DOH)技术,以HTTPS发送DNS封包,弥补现行DNS系统使用UDP以及TCP协议明码传输请求的安全性疑虑,而DNS作为CDN中的重要组成部分,此举无疑会大大提高CDN的安全保障能力。
用户在使用浏览器访问域名时,要通过解析器发送信息到CDN的DNS服务器中,这些信息包含了用户要访问的域名和IP地址等隐私,以便选择最靠近用户的CDN节点提供相关服务。但是,过去DNS服务器在接收、传送时,采用明码的方式,使得用户隐私信息在路径上的每个节点都可以被轻易获取,这也造成了用户网络访问时隐私泄露问题。如果不法分子劫持了这些信息,可能会收集用户数据进行售卖,甚至篡改用户要访问IP地址,欺骗用户。
为了解决上面提到用户安全问题,火狐浏览器从解析器和DNS服务器两个方面入手,在Firefox 62中采用了TRR和DOH技术,终结用户DNS查找的明码风险。TRR(可信递归解析器)可以避免不可信的解析器,而DOH(DNS over HTTPS)则可以防止查找路径上的窃听与篡改,另外,Firefox还最小化传输的数据,在去匿名化环境中保护用户隐私。
本次创新由Mozilla和互联网服务提供商Cloudflare合作完成,创建了支持DOH技术的TRR。有了可信的解析器,用户的查找数据就不会有被转售或是泄漏的危机。Cloudflare承诺在24小时后丢弃所有可识别个人身份的信息,也不会将这些数据转送给第三方,并且定期审查确保每一个环节符合预期。使用DOH技术,将能让DNS请求以及回应受到加密保护,让旁人无法轻易窃取。Cloudflare在发送给DNS用户附近的IP位置时,除了一样可以提供地理信息外,还能隐藏用户身份。
用户要连接网页服务器时,会发送未加密的服务器名称指示,互联网服务提供商仍然可以知道用户欲浏览的网站,为用户提供服务。但用户与网站创建连接后,则一切都是加密进行了。支持DOH技术的Firefox 62预计将在9月上线,用户也在Firefox Nightly版本中提前体验该功能。