DNS sur TLS et sur HTTPS
(ci-après DOT & DOH) - ce sont peut-être les technologies qui augmentent considérablement la confidentialité et la sécurité sur Internet.
Il existe également un SNI crypté, mais DOH et DOT sont nécessaires pour l'utiliserJ'attire votre attention, l'application elle-même est très conviviale, même sans une connaissance approfondie de la technologie, il est fortement recommandé de vous familiariser avec elle.
Référence rapide: DNS est un système d'obtention d'adresses IP, élément fondamental d'Internet, utilisé à chaque fois lors de la navigation sur le Web. En ouvrant telle ou telle ressource, vous dites à votre fournisseur de services où vous êtes allé, et même si vous changez le DNS en un autre (8.8.8.8 de Google par exemple), cela ne vous aidera pas, en raison du manque de cryptage dans le protocole, qui permet la substitution et la redirection du trafic n'est pas le serveur cible (en fait une attaque MITM).
Plus récemment, le principal problème de sécurité sur le réseau était HTTP, mais grâce à Google et LetsEncrypt - il est pratiquement résolu - maintenant que regardez-vous exactement sur le site - maintenant il n'est pas connu du fournisseur, il ne reste que deux problèmes:
- Fuite DNS: c'est le même problème qui peut être résolu en utilisant DOH & DOT
- Domaine SNI Leak - le problème de divulgation SNI se pose lorsque vous établissez une connexion HTTPS au site, cependant, avant de commencer le transfert crypté - le navigateur transmet le nom de domaine du site pour la connexion au serveur en clair, la norme eSNI résoudra ce problème, mais c'est la prochaine étape
Il y a quelque temps, des articles ont été publiés sur Habr:
(je vous recommande de lire) :
- Google Public DNS a discrètement activé la prise en charge DNS sur TLS
- Nous rencontrons un service de Cloudflare à 1.1.1.1 et 1.0.0.1, ou "l'étagère DNS publique est arrivée!"
Et il semblerait que le bonheur soit déjà proche, deux grandes entreprises ont décidé de mettre en place de nouveaux protocoles et le support est sur le point d'atteindre les utilisateurs finaux. (Surtout avec Chrome)
Mais pour une raison quelconque, le support DOT & DOH n'est désormais disponible que dans les versions "nocturnes" de Firefox, sans parler du niveau système d'Android et iOS.
Cependant, grâce à CloudFlare, qui a décidé de profiter de la lenteur de Google, et a publié une application pour
iOS et
AndroidL'application est très simple, dans le cas d'iOS, le travail se fait en définissant un profil VPN
A ne pas confondre avec un vrai VPN! Après avoir défini le profil, le VPN lui-même sera effectivement installé (à 127.0.0.1) et les requêtes DNS seront envoyées à CloudFlare via DOT & DOH, et le trafic suivra la route habituelle.
Ce qui est bien, l'application a la possibilité de configurer DNS sur TLS ou DNS sur HTTPS. la valeur par défaut est la dernière option.
Je note encore une fois, l'apparition de l'icône VPN ne signifie pas l'utilisation de «VPN» au sens habituel du terme, vous pouvez voir si vous pouvez accéder à n'importe quel identifiant IP, par exemple
2ip.ruEt pourtant, si vous changez le DNS dans les paramètres réseau - lorsque vous passez du WiFi au WiFi, vous devez changer les paramètres à chaque fois, sans parler du DNS du réseau du fournisseur de services, il est parfois impossible de modifier ce paramètre du tout.
Dans le cas de l'application - pour toutes les connexions seront automatiquement utilisées DOH / DOT de CloudFlare.