Комментарии 7
Что любопытно, в моем Oppo android 11 адрес надо вбивать one.one.one.one , а цифрами не даёт. Почему?
Эта настройка в Андроиде поддерживает только шифрованные протоколы. Вероятно, Гугл решил что никто из днс провайдеров не будет в здравом уме использовать tls сертификаты привязанные к ip адресу.
никто из днс провайдеров не будет в здравом уме использовать tls сертификаты привязанные к ip адресу.
А можно поинтересоваться: собственно почему? В чём минус таких сертификатов? Особенно в плане DNS? Ведь до DNS нам доступны ТОЛЬКО ip адреса.
Привязка сертификата к доменному имени позволяет менять ip адрес сервера как угодно, и соответственно переносить сервер без ограничений. Прибитие сертификата гвоздями к ip соответственно это ограничивает. Плюс из-за того что такие сертификаты используются редко повышаются шансы встречи с багами в реализациях TLS. Например, насколько я знаю, винда до 10 версии их обрабатывала неправильно.
Хотя конечно странно что нет такой возможности в контексте DNS. systemd-resolved, например, требует указывания как ip адреса так и доменного имени для верификации сертификата (или только ip если сертификат без домена).
Андроид, вероятно, просто резолвит адрес dns сервера через публичный dns гугла с захардкоженным в систему ip и доменом.
DNSSEC для генерации цифровой подписи ответа. Но сам запрос и ответ при этом не шифровались, что могло быть использовано для ограничения доступа к определенным доменам
Не совсем так. По крайней мере, DNSSEC не позволяет подавить запрос к существующей в зоне записи незаметно: отрицательные ответы в нем тоже подтвердаются подписью через подписанные записи NSEC3 (или NSEC) в зоне.
Сделаем защищенный DNS снова быстрым. DNS over QUIC