Android 9 a DNS-lekérdezések titkosítása DNS-over-TLS (DoT) használatával

Az Android 9 óta a DNS-kiszolgálóhoz intézett kérések titkosíthatók a DNS-over-TLS (DoT) segítségével. A Google és a Cloudflare olyan DNS-szervereket kínál, amelyek támogatják ezt a technológiát. De vannak olyan alternatívák is, amelyekben a magánélet szempontjából megbízni kell.

android

Míg napjainkban számos webhely támogatja vagy előírja a biztonságos HTTP-t (HTTPS), vagyis a TLS-en keresztül titkosított HTTP-kapcsolatot, a titkosítást általában nem használják a Domain Name System (DNS) kéréseihez. Ez nemcsak lehetővé teszi a DNS-kérések kémlelését, hanem azok meghamisítását vagy manipulálását is.

2017-ben Dominik Herrmann informatikus az "Az internetes címjegyzék fenyegeti a magánéletünket" (PDF) című értekezésében bemutatta, hogyan lehet titkosítatlan DNS-lekérdezésekkel meghatározni az internet felhasználó identitását. Herrmann a névfeloldás központosítását látja, amelyért a nemzetközi vállalatok, például a Google, az OpenDNS és a Smynatec felelősek. "2016-ban egyedül a Google DNS-kiszolgálói válaszoltak a napi DNS-lekérdezések több mint 13 százalékára."

DNS-kiszolgáló DNS-sel vagy TLS-sel (Dot)

A Google január óta kínál TLS titkosítást nyilvános DNS-kiszolgálóján. "A mai naptól kezdve a felhasználók lekérdezéseket biztosíthatnak eszközeik és a Google Nyilvános DNS között a DNS-over-TLS használatával, miközben megőrzik magánéletüket és integritásukat" - mondta a Google az új funkcióról szóló blogbejegyzésben, a nyilvánvaló megemlítése nélkül: mivel maga a Google a címzettje A lekérdezéseknek meg kell oldaniuk a megoldást. Tehát a Google továbbra is ismeri az összes olyan weboldalt, amelyhez a nyilvános DNS-en keresztül férnek hozzá.

Tehát, ha érdekel a magánélet védelme, akkor jobb, ha más szervert választ, mint amely a világ legnagyobb hirdetési csoportjába tartozik. A nonprofit szervezetek ajánlatai erre jobban megfelelnek. A DNS-over-TLS szolgáltatást kínáló DNS-kiszolgálók listája megtalálható például a dnsprivacy.org és a privacy-handbuch.de webhelyeken. Egyes DNS-kiszolgálók nemcsak titkosítják a DNS-kérelmeket, hanem szűrnek olyan webhelyeket is, amelyek hirdetéseket jelenítenek meg, vagy csalárd célokra, például adathalászatra használják.

DNS-kiszolgáló DNS-sel TLS (DoT) keresztül

Android 9: A DNS-kiszolgáló beállítása a DNS-over-TLS (Dot) használatával

Android rendszeren a DNS-kiszolgáló DNS-over-TLS használatával történő konfigurálását „Private DNS” -nek hívják. A Beállítások - Hálózat és Internet menüpont alatt található. A Samsung okostelefonokon a Beállítások - Kapcsolatok - További csatlakozási beállítások részben találja meg őket. Itt ad meg egy TLS titkosítású DNS-kiszolgálót (lásd a fenti táblázatot). Ezek a beállítások mind a WiFi, mind a mobil kapcsolatokra érvényesek.

Nincs azonban garancia arra, hogy a kiválasztott TLS titkosítású DNS-kiszolgálót minden alkalmazás felhasználja egy DNS-kéréshez. A hirdetést is blokkoló DNS-kiszolgálóval végzett teszt azt mutatja, hogy például a Samsung internetes böngészője továbbra is megjeleníti a reklámokat, míg a Firefox és a Chrome a kiválasztott DNS-kiszolgálót használja, következésképpen nem jelenítenek meg hirdetéseket. A fejlesztők tehát megkerülhetik az új "Private DNS" beállítást. Ennek oka jelenleg nem ismert. A ZDNet.de kérelmet nyújtott be a Google-hoz és a Samsunghoz.

DNS-over-TLS asztali operációs rendszereken

Az asztali operációs rendszerek, mint például a Linux, a macOS és a Windows, alapértelmezés szerint még nem kínálnak támogatást a DNS-over-TLS-hez. Ha titkosítani kívánja a DNS-kérelmeket, meg kell elégednie a Stubby eszközzel, amely egy helyi DNS-megoldási szolgáltatást valósít meg TLS támogatással.

Ha Firefoxot használ, akkor a DNS-over-HTTP titkosítást használhatja a megfelelő opció aktiválásával a Mozilla böngésző hálózati beállításaiban. Alapértelmezés szerint egy Cloudflare DNS-szervert adunk meg. Ezeket a beállításokat is módosíthatja.