不久前,此前一直高舉免費大旗的360,旗下瀏覽器傳出了即將推出收費會員的消息,儘管隨後官方表聲明稱,收費其實是瀏覽器團隊在小規模測試個性化增值服務。不過此次傳出360瀏覽器的六大VIP權益也引發了外界的諸多關注,其中特別是DoH安全防劫持這項功能,讓不少人頭回知道了原來除了向工信部投訴外,DoH(DNS Over Https)其實也可以解決DNS被劫持的問題。
就在DoH開始進入用户的視線後,一貫注重用户隱私安全的蘋果也在日前宣佈,其與全球知名網絡安全服務提供商Cloudflare,及美國第二大內容交付網絡(CDN)提供商Fastly,合作開發了一個新的互聯網協議。而這個被稱為“Oblivious DNS-over-HTTPS”或“ODoH”的協議,不難發現正是DoH的升級版本,而其作用則是使得網絡服務提供商更難知曉用户在網絡中留下的“腳印”。
要想知道蘋果的ODoH到底對大家日常上網衝浪會有哪些幫助,還得從我們如何用一台電腦或者手機接入互聯網開始説起。相信有不少朋友還記得,其實在千禧年前後,上網可以沒有如今這麼方便,撥號上網是當初最為主流的上網方式,而通過撥打ISP的接入號進行上網也是許多80後的共同回憶。
至於説為什麼當初上網需要通過電話,其實是因為一個典型的互聯網接入流程是這樣的。假設我們想要訪問三易生活的官網,瀏覽器就需要先對www.3elife.net這個網址通過DNS協議進行解析,查詢到網站的IP地址,此後再通過TCP協議將信息打包到數據包(packet)中交給網卡,然後使用http協議訪問web服務器,再根據對應的IP地址,網卡將數據包轉換為電信號,並通過電話線發送出去。而在這一過程中如果轉化成光信號,那麼就是我們如今更為常見的光纖。
在完成了本地的信息處理後,數據包就進入了網絡傳遞的階段,在這一階段,數據包會首先通過接入網,連接到用户的網絡運營商(例如電信或聯通),再通過互聯網服務提供商(ISP)的路由器進入到主幹網,根據對應的IP地址,最終到達IP地址所指定web服務器所在的局域網,並在通過服務器的防火牆後,進入服務器中獲取對應的網頁。而將上述過程反向操作一遍,就能夠將網站服務器拷貝出來html網頁文件存儲到你的電腦中,最終電腦屏幕上就可以顯示出獲取到的網頁數據。
在這個看似複雜的過程描述中,其實我們省略了一個關鍵的步驟,則需要單獨拿出來,也就是如何獲得目標網站的IP地址。事實上,想要獲得輸入URL的真實IP地址,是需要DNS協議背後的DNS服務提供商來完成,簡單來説,DNS服務器提供商是負責告訴你,A網站的IP地址是AAA,B網站的IP地址是BBB。這就意味着如果有人希望獲得用户在網絡上經常訪問哪些網站,DNS查詢記錄將會是最好,也是最為準確的途徑之一。
通常來説,絕大多數人的DNS服務提供商都是對應的網絡運營商來負責,但實際情況卻是運營商出於某些未知的目的,可能會出現明明訪問的是A網站,結果運營商採用往返回頁面裏寫入JavaScript等方式,在瀏覽器的頁面中加入廣告。如果沒有DoH,遇到這樣的情況,用户就只能向工信部的電信用户申訴受理中心投訴了。
在這其中,DoH則可以被理解為域名解析服務(DNS)的請求通過Https連接加密傳輸,由於傳統意義上的DNS請求是不會被加密的,所以除了DNS服務商之外,黑客也能通過尋找有漏洞的DNS服務器緩存來獲取。而Https則是Http+SSL/,可以通過SSL證書來驗證服務器的身份,併為瀏覽器與服務器之間的通信進行加密,做到了用户端和解析服務器之間端到端的加密。目前,除了利用Https協議的DoH之外,還有使用TLS協議的DNS over TLS(DoT),但DoT的劣勢就在於可能被服務器的防火牆阻止。
而ODoH命名中的O,也就是Oblivious(未察覺)主要是為了進一步加強隱私保護的等級,是通過加入代理服務器對DNS查詢進行加密,從而將DNS查詢與用户的行為拆分開來。如果説DoH更多的是為了避免DNS被劫持/污染,ODoH則是為了確保網絡運營商及DNS提供商再也看不到用户到底瀏覽了哪些網站。但需要注意的是,ODoH只有在代理與DNS服務器不受同一實體控制的情況下,才能確保隱私。
但對於用户來説,其實無論使用DoH還是ODoH都是有一定代價的,因為使用這兩項功能就意味着無法使用本地host文件來實現廣告攔截功能。同時無論是谷歌還是蘋果合作伙伴Cloudflare所提供的可信DNS解析服務器,它們都是公開的,谷歌的是8.8.8.8,而Cloudflare則是1.1.1.1,這就代表ISP可以屏蔽這些DNS服務器地址,從而讓用户轉到其它的鏡像服務器,並讓網絡訪問直接退回到傳統的Http協議。
事實上,除了某些有私心的ISP或黑客外,也並不是所有人都對DoH/ODoH樂見其成的。早在兩年前互聯網工程任務組(IETF)正式採用DoH標準時,就曾有相關業內人士指出,DoH是企業與其他專用網絡的支路,DNS則是控制平面(信令)的一部分,而DoH將控制平面消息移動到了數據平面(消息轉發),就代表網絡運營商再也不能管控相關信息,可能會大幅增加惡意軟件進行域名攻擊的可能性,同時也引發了關於網絡本身更重要,還是用户更重要的爭論。
當然,之所以谷歌與蘋果會如此迫切地希望推廣後者,除了隱私保護的因素外,可能也有自己的私心。眾所周知。所有的域名查詢都是從根服務器開始,而DNS根服務器目前僅有13組,標號從A到M,分別由12個運營商運營,但其中並沒有谷歌與蘋果的身影。而如果通過DoH/ODoH,谷歌自家的公共DNS,以及蘋果合作伙伴Cloudflare DNS服務器的地位就會飛速上升,這無疑也可以視為是兩者開始向更基礎的互聯網底層進行擴張,併為自己尋求更大話語權的一步棋。