Pull to refresh
  • by relevance
  • by date
  • by rating

Google Public DNS тихо включили поддержку DNS over TLS

DNS *


Внезапно, без предварительного анонса, на 8.8.8.8 заработал DNS over TLS. Ранее Google анонсировал только поддержку DNS over HTTPS.

Публичный резолвер от компании CloudFlare с IP-адресом 1.1.1.1 поддерживает DNS over TLS с момента запуска проекта.

Зачем это нужно


При использовании классической схемы DNS, провайдеры могут лезть своими грязными лапами в ваши DNS-пакеты, просматривать, какие домены вы запрашиваете, и подменять ответы как угодно. Этим же занимаются мошенники, подменяя резолверы на взломанных роутерах, чтобы направить пользователя на поддельный сервер.

C DNS over TLS/HTTPS запросы посылаются внутри зашифрованного тоннеля так, что провайдер не может подменить или просмотреть запрос.

А с приходом шифрования имени домена в сертификатах X.509 (ESNI) станут невозможны блокировки через DPI по SNI (Server Name Indication, специальное поле, в котором передается имя домена в первом TLS-пакете), которые сейчас применяются у некоторых крупных провайдеров.

Как это работает


На порт TCP:853 выполняется TLS-подключение, при этом проверка сертификата резолвера происходит с использованием системных корневых сертификатов, точно так же, как HTTPS в браузере. Это избавляет от необходимости добавлять какие-либо ключи вручную. Внутри тоннеля выполняется обычный DNS-запрос. Это создает меньше накладных расходов по сравнению с DNS over HTTPS, который добавляет HTTP-заголовки к запросу и ответу.

К сожалению, на текущий момент только в Android 9 (Pie) поддержка DNS over TLS встроена в системный резолвер. Инструкция по настройке для Android 9.

Для остальных систем предлагается использовать сторонний демон, а системный резолвер направлять на localhost (127.0.0.1).

Настройка на macOS


Разберем настройку DNS over TLS на последней версии macOS, на примере резолвера knot
Читать дальше →
Total votes 105: ↑101 and ↓4 +97
Views 85K
Comments 147

Институт развития интернета назвал сайты, которые могут отключиться в Рунете с 1 февраля

Server Administration *DNS *
1 февраля 2019 года наступит DNS Flag Day: будут внесены изменения в самое популярное ПО, отвечающее за работу DNS — Bind, Knot Resolver, PowerDNS и Unbound. Они начнут принимать только трафик, соответствующий стандарту EDNS (RFC 6891). Трафик со старых и необновлённых серверов будет рассматриваться как нелегитимный и эти сервера перестанут обслуживаться, что может привести к недоступности сайтов, которые находятся на этих серверах.

Для большинства обычных сайтов DNS Flag Day пройдёт незамеченным. Если они размещаются на популярных хостингах. Сложности могут возникнуть у тех компаний, кто самостоятельно поддерживает собственные DNS-сервера, а также многих госорганов, которые не слишком оперативно обновляют ПО в своей инфраструктуре, предупреждает Cisco.

Вчера Институт развития интернета назвал сайты, которые могут отключить в Рунете с 1 февраля. По состоянию на декабрь 2018 года 104 DNS-сервера в доменных зонах .ru и .рф не готовы к DNS Flag Day, говорится в исследовании.
Читать дальше →
Total votes 30: ↑21 and ↓9 +12
Views 12K
Comments 20