圖片來源: 

Mozilla

Mozilla將透過和加拿大網際網路註冊核發機構(Canada Internet Registration Authority,CIRA)合作,將DNS over HTTPS(DoH)服務推向加拿大,成為繼去年初美國之後的第二個國家。

傳統DNS查詢恐讓用戶曝露風險中。瀏覽器查詢DNS,由DNS解析器將使用者輸入的網域翻譯成IP,例如將www.ithome.com.tw翻譯成 220.130.119.130回傳用戶端,再將用戶連去目的地IP。然而過去用戶端瀏覽器到DNS伺服器的查詢流量為明文傳送,可能讓中途劫持流量的攻擊者得知用戶端,包括使用者地點及裝置環境。此外,若讓惡意DNS伺服器掌握用戶流量,也會使用戶陷入風險。

Mozilla透過DNS over HTTPS(DoH)及可信遞迴解析器(Trusted Recursive Resolver,TRR)兩項計畫來解決這個問題。前者加密用戶端到DNS解析器的流量,後者則找來合作夥伴提供可信任的DNS解析服務。Mozilla說明,TRR計畫的目的是確保處理用戶DNS資料的解析器廠商的行為,包括限制蒐集和保留DNS查詢資料、若保留也要公開透明、同時限制利用解析器存取或修改流量內容。

在此之前,已經有Cloudflare、NextDNS和Comcast加入Mozilla的TRR計畫。CIRA則是加入TRR計畫的最新成員,也是第一個只提供單一國DoH服務的TRR成員。

在這項計畫下,加拿大版Firefox用戶將會在瀏覽器DoH設定中,看到CIRA Canadian Shield列為預設的解析服務供應商。CIRA仰賴外部夥伴,包括Akamai及加拿大兒童保護中心、加拿大網路安全中心提供的網域黑名單進行過濾。而自上線以來,每天至少為一位用戶攔截1個惡意網域。

使用者可以關閉DoH或是選擇其他DoH供應商。從7月20日開始,CIRA Canadian Shield將推向1%加拿大Firefox用戶,之後漸次增加,到9月達到100%。

熱門新聞

Advertisement