Tls

Android 9Pieで1.1.1.1のプライベートDNSを有効にする



Enable Private Dns 1

8月7日、GoogleはPieという名前のAndroid9を正式にリリースしました。 Android 9は、デジタルアプリケーション、セキュリティ、プライバシーなどの一連の新機能を更新しました。ユーザーがベータ版で使用したことがある場合は、Android9も最新のDNSモードをサポートしていることがわかります。

Android Pieの新機能により、Androidでのカスタムの安全なDNS解決プログラムの構成が簡素化されます。 WebサイトがDNSサービスを提供する場合、クライアントとWebサーバーは自動的に暗号化され、サードパーティはDNSクエリを覗き見できません。 Android9にはDNSoverTLSのサポートが組み込まれているためです。同時に、TLSはWebサイトへのHTTPSアクセスを自動的にデフォルト設定する役割も果たし、緑色のセキュリティロックアイコンがアドレスバーに表示されます。これにより、ISP、モバイルオペレーター、およびクライアントとDNSリゾルバー間のサードパーティによる改ざんが改ざんされたり解決不能になったりすることがなくなります。



構成1.1.1.1 AndroidPieはDNSover TLSをサポートしていますが、この前提条件はデバイスで有効にする必要があります。具体的な操作方法は次のとおりです。

1、設定-ネットワークとインターネット-詳細-プライベートDNS



2. [特別なDNSプロバイダーのホスト名]オプションを選択します。

3. 1dot1dot1dot1.cloudflare-dns.comと入力し、[保存]をクリックします。

4. 1.1.1.1/help(または1.0.0.1/help)にアクセスして、「Use DNS over TLS(DoT)」が「Yes」として表示されていることを確認します。



なぜプライベートDNSを使用するのですか?

TLSベースのHTTPSとDNSは、インターネットプライバシーの現在の状態にどのように適応しますか?

TLSは、ユーザーのデバイスが電子メールを表示するためにパブリックワイヤレスネットワークに接続されている場合に、喫茶店などの信頼できない通信チャネルを介して暗号化されるプロトコルです。 TLSを使用しても、DNSサーバーへのクライアントの接続がハイジャックされているのかサードパーティのピークであるのかを監視することはできません。特に、開いているホットスポットを誤ってリンクした場合、サイバー犯罪者はクライアントのDNSレコードを偽造することにより、メールサーバーとオンラインバンキングの間の接続を乗っ取る可能性があります。 DNSSECは応答に署名することで改ざんを検出できますが、改ざんを検出することはできますが、他のサードパーティが送信されたコンテンツを読み取ることはできます。

この場合、HTTPS / TLSで解決できます。これは、これらの暗号化プロトコルが、一般的なHTTPS暗号化プロトコルと同様に、クライアントとパーサー間の通信を暗号化できるためです。

ただし、一連の操作の最後のループには安全でない要素が含まれている可能性があります。つまり、端末デバイスとサーバー上の特定のホスト名との間の最初のTLSネゴシエーション中にサーバー名の表示が表示されます。要求を送信したホスト名は暗号化されておらず、サードパーティは引き続きクライアントのアクセスレコードを表示できます。したがって、技術的な脆弱性が存在する場合は、安全で信頼できるネットワークを使用することが重要です。

IPv6とDNS 多くのユーザーは、プライベートDNSフィールドが1.1.1.1のような単純なIPアドレスを受け入れないが、1dot1dot1dot1.cloudflare-dns.comのようなホスト名を必要とすることに気づきました。

モバイル事業者はIPv4とIPv6の共存の「ダブルスタックの世界」のバランスを取る必要があると考えられているため、GoogleではプライベートDNSフィールドをIPアドレスではなくホスト名にする必要があります。現在、ますます多くの組織がIPv6を使用しており、米国では、主要な携帯電話会社がIPv6をサポートしています。不完全な統計によると、現在、インターネットに接続されたデバイスは約260億台あり、IPv4アドレスは43億台にすぎません。したがって、Appleでさえ、すべての新しいiOSアプリケーションがシングルスタックIPv6ネットワークをサポートする必要があります。

しかし、私たちはまだIPv4アドレスの世界にいるので、携帯電話のメーカーとオペレーターは将来の互換性の問題を考慮する必要があります。現在、iOSとAndroidの両方がAとAAAAのDNSレコードを要求しています。これらのレコードには、バージョン4とバージョン6の形式のドメイン名に対応するIPアドレスがそれぞれ含まれています。

$ dig A + short 1dot1dot1dot1.cloudflare-dns.com

1.0.0.1

1.1.1.1

$ dig AAAA + short 1dot1dot1dot1.cloudflare-dns.com

2606:4700:4700 :: 1001

2606:4700:4700 :: 1111

IPv6のみのネットワークを介してIPv4アドレスのみを持つデバイスと通信するには、DNSリゾルバーはDNS64を使用してIPv4アドレスをIPv6アドレスに変換する必要があります。次に、変換されたIPアドレスの要求に対して、ネットワークオペレータが提供するNAT64変換サービス。このプロセスは、デバイスとWebサーバーに対して完全に透過的です。

cloudflareで翻訳された記事

記事はhttps://www.trustauth.cn/wiki/26299.htmlに複製されています