Android 9Pieで1.1.1.1のプライベートDNSを有効にする方法
How Enable Private Dns
この記事はStephenPinkertonによってcloudflareブログに投稿されました
最近、GoogleはAndroid 9 Pieを正式にリリースしました。これには、デジタルの利便性、セキュリティ、プライバシーに関する一連の新機能が含まれています。ベータ版またはアップデート後に携帯電話のネットワーク設定を調整した場合、Androidが新しいプライベートDNSモードをサポートするようになったことにお気づきかもしれません。
この新機能により、Androidでカスタムの安全なDNSリゾルバーを構成するプロセスが簡素化されます。つまり、デバイスとアクセスするWebサイト間の関係者は、暗号化されるため、DNSクエリをスパイできません。この背後にあるプロトコルであるTLSは、Webページ間の通信の暗号化も担当します。同じテクノロジーは、DNSクエリを暗号化するのに非常に役立ちます。これにより、DNSクエリが改ざんされたり、ISP、携帯電話会社、およびDNSリゾルバーとの間のネットワークパスにいる他の人に理解されたりすることがなくなります。これらの新しいセキュリティプロトコルは、HTTPSに基づくDNSおよびTLSに基づくDNSと呼ばれます。
1.1.1.1の設定方法
Android Pieは現在、TLSに基づくDNSのみをサポートしています。次の手順は、デバイスで有効にするのにすぐに役立ちます。
1. [設定]-> [接続]-> [その他の接続設定]-> [プライベートDNS]に入ります
2.プライベートDNSプロバイダーのホスト名を選択します
3. 1dot1dot1dot1.cloudflare-dns.comと入力して、保存します
4. 1.1.1 / help(または1.0.0.1 / help)を参照し、「TLSに基づいてDNS(DoT)を使用する」が「はい」であることを確認します。
なぜプライベートDNSを使用するのですか?
TLSに基づくHTTPSとDNSは、インターネットプライバシーの現在の状態にどのように適応しますか?
TLSは、喫茶店のワイヤレスネットワークで電子メールを閲覧する場合など、信頼できない通信チャネルを介してトラフィックを暗号化するプロトコルです。ただし、TLSを使用しても、DNSサーバーへの接続が第三者によって乗っ取られたのかスヌープされたのかを知ることはできません。特に、誤ってオープンホットスポットに接続した場合、犯罪者はデバイスのDNSレコードを偽造することにより、メールサーバーまたはオンラインバンキングの接続を乗っ取る可能性があります。 DNSSECは、改ざんを検出できるように応答に署名することで信頼性を確保するという問題を解決しますが、回線上の他の誰もがメッセージ本文を読み取ることができます。
HTTPS / TLSに基づくDNSは、この問題を解決します。これらの新しいプロトコルにより、HTTPSトラフィックの場合と同様に、デバイスとリゾルバー間の通信が確実に暗号化されます。
ただし、この一連の操作の最後の部分は安全でない可能性があります。つまり、サーバー名の表示は、デバイスとサーバー上の特定のホスト名との間の最初のTLSネゴシエーション中に表示されます。リクエストを送信したホスト名は暗号化されておらず、サードパーティは引き続きアクセスレコードを表示できます。したがって、技術がまだ欠落している場合は、信頼できるネットワークを使用することが非常に必要です。
IPv6とDNS
プライベートDNSフィールドが1.1.1.1のようなIPアドレスを受け入れず、代わりに1dot1dot1dot1.cloudflare-dns.comのようなホスト名が必要であることに気付いたかもしれません。
GoogleがIPアドレスではなくホスト名を要求する理由は、携帯電話会社がIPv4とIPv6が共存する「デュアルスタックの世界」を考慮する必要があるためです。ますます多くの組織がIPv6を使用し始めており、すべての主要な米国の携帯電話会社がIPv6をサポートしています。これは、43億のIPv4アドレスをはるかに超える約260億のインターネット接続デバイスがある世界では朗報です。将来を見据えた動きとして、Appleはすべての新しいiOSアプリケーションがシングルスタックIPv6ネットワークをサポートする必要があることを要求しています。
ただし、私たちはまだIPv4アドレスのある世界に住んでいるため、携帯電話のメーカーとオペレーターは、下位互換性を念頭に置いてシステムを構築する必要があります。現在、iOSとAndroidは、AとAAAAの両方のDNSレコードを要求しています。これらのレコードには、それぞれバージョン4とバージョン6の形式のドメインに対応するIPアドレスが含まれています。
$ dig A +short 1dot1dot1dot1.cloudflare-dns.com 1.0.0.1 1.1.1.1 $ dig AAAA +short 1dot1dot1dot1.cloudflare-dns.com 2606:4700:4700::1001 2606:4700:4700::1111
IPv6のみのネットワークを介してIPv4のみのデバイスと通信するには、DNSリゾルバーはDNS64を使用してIPv4アドレスをIPv6アドレスに変換する必要があります。次に、これらの変換されたIPアドレスの要求は、ネットワークオペレーターが提供するNAT64変換サービスを経由します。このプロセスは、デバイスとWebサーバーに対して完全に透過的です。
プロセスの詳細については、移動してください APNIC 。
[SSL中国から]