Apple增加了对加密DNS(DoH和DOT)的支持

2020-06-27 00:26:52

在本周的开发者大会上,苹果宣布即将推出的iOS和MacOS操作系统将支持处理加密DNS通信的能力。

苹果公司表示,定于今年秋天发布的iOS14和MacOS11将同时支持HTTPS上的DNS(DoH)和TLS上的DNS(DOT)协议。

正常的DNS(域名系统)流量以明文形式发生,过去曾被互联网服务提供商和其他人用来跟踪用户,通常是用来创建简档以出售给在线广告商。

但DoH和DOT允许台式机、手机或单个应用程序以加密格式进行DNS查询和接收DNS响应,该功能可防止第三方和恶意威胁行为者跟踪用户的DNS查询并推断目标的网络流量目的地和模式。

为了改善iOS和MacOS用户的隐私,苹果公司表示,计划在其应用程序开发框架中增加新的功能和特性。

这些新功能将允许开发人员创建或更新他们现有的应用程序,并使用DoH或DOT来加密DNS流量。

苹果公司表示,开发者可以创建应用程序,将DoH/Dot设置应用于整个操作系统(通过网络扩展应用程序或MDM配置文件),应用于单个应用程序,或应用程序选定的网络请求。

苹果互联网技术工程师汤米·保利(Tommy Paly)周三在一次演讲中表示,有两种方式可以启用加密DNS。

第一种方法是使用单个[加密]DNS服务器作为系统上所有应用程序的默认解析程序。如果您提供公共[加密]DNS服务器,您现在可以编写网络扩展应用程序来配置系统以使用您的服务器。或者,如果您使用移动设备管理来配置设备上的企业设置,您可以下推一个配置文件来为您的网络配置加密的DNS设置,保利说。

启用加密DNS的第二种方式是直接从应用程序选择加入。保利补充说,如果你想让你的应用程序使用加密的DNS,即使系统的其余部分还没有加密,你也可以选择一个特定的服务器来用于你的应用程序的部分或全部连接。

此外,苹果的DOH和DOT实现也将是上下文感知的。例如,如果用户安装了VPN应用程序,或者是强制(公司)网络的一部分,则DoH/DOT服务器不会覆盖上述提供的DNS设置。

此外,开发人员还可以编写规则,以便仅在某些情况或上下文中启用对加密DNS通信的支持,例如当用户使用其移动数据网络、用户不信任的特定WiFi网络或某些类型的应用程序时。

如果网络提供商阻止他们网络上的加密DNS通信,苹果还计划警告用户,这样他们就可以采取其他行动来保护自己的隐私。

苹果现在加入了Mozilla、谷歌和微软的行列,所有这些公司都宣布在各自的产品--Firefox、Chrome、Edge&;Windows10--中支持加密的DNS通信。