DNS služba Google začala podporovať DNS cez TLS

Značky: DNSGoogle

DSL.sk, 10.1.2019

Verejná služba rekurzívneho DNS servera Google Public DNS pridala podporu pre štandard DNS-over-TLS, pri ktorom klient komunikuje s DNS serverom cez zabezpečené TLS spojenie.

Protokol TLS je štandardným šifrovacím protokolom bežiacim nad TCP, ktorý je používaný vo viacerých zabezpečených aplikáciách a štandardoch.

Prenášané dáta cez TLS sú šifrované a nie sú prístupné ani pri odchytávaní dátovej prevádzky. Okrem iného ich tak nevidí a v dôsledku nemôže prípadne filtrovať ani poskytovateľ pripojenia.

Google v oznámení avizuje, že nový štandard nasadil spôsobom maximalizujúcim rýchlosť odozvy napriek streamovej povahe TCP, okrem iného podporuje TLS 1.3, TCP fast open, pipelining viacerých dotazov a odpovedanie v inom poradí.

Z bežných operačných systémov pre PC a mobily má zabudovanú podporu pre DNS cez TLS zatiaľ zrejme len Android 9. Pre pokročilých užívateľov Linuxu odporúča Google zase použiť lokálny DNS server stubby od dnsprivacy.org následne využívajúci Google Public DNS cez DNS-over-TLS.




Najnovšie články:



Diskusia:

fdsfdsfsd Od: zfdzfz | Pridané: 10.1.2019 12:00 preco vobec google nieco take poskytuje zadarmo? Odpovedať Známka: 8.6 Hodnotiť:

Re: fdsfdsfsd Od: _iso | Pridané: 10.1.2019 12:08 Lebo mu to zisky prinesie niekde inde... Odpovedať Známka: 8.5 Hodnotiť:

ultraradikalny optimizmus Od: syntaxterrorXX. X | Pridané: 10.1.2019 12:40 V ramci firemnej strategie "Don't be evil" je samozrejme vylucenie pripadneho zamerania cinnosti vyhradne na znizovanie potencialneho rastu ziskovosti eventualnej konkurencie pomerne priekazne logicke. Odpovedať Známka: -0.9 Hodnotiť:

Re: ultraradikalny optimizmus Od: aasami | Pridané: 11.1.2019 7:17 "Don't be evil" uz Google zo svojho manifestu odstranil. Uz je asi v poriadku byt aj evil. Odpovedať Hodnotiť:

Re: fdsfdsfsd Od: qwertyuiop1 | Pridané: 10.1.2019 12:27 Lebo ked to zacne pouzivat Chrome alebo Firefox, tak si blokovanie reklam s pi-hole alebo inym vlastnym resolverom mozes strcit za klobuk. Odpovedať Známka: 5.6 Hodnotiť:

Re: fdsfdsfsd Od: Bran-Ko | Pridané: 10.1.2019 12:33 Lebo je krasne pozerat a analyzovat co vsetko chceme resolvovat. Nemusim vediet na ake stranky chodis ak viem ake domeny navsevujes ... a dokonca viem aj z ktorej IP. Cize viem cielit reklamu aj bez GDPR. Vsetky data su profilovane a anonymita neexistuje Odpovedať Známka: 7.8 Hodnotiť:

Re: fdsfdsfsd Od: Bfbfchxv | Pridané: 10.1.2019 20:11 Toto sa nerobi. Ide hlavne o dorucovanie reklam. Ked ISP zobrazuje reklamy na neexistujucich domenach a nahradza reklamy, tak je to na hrane zakona, ale Googlu to ubera z trzieb. Odpovedať Hodnotiť:

Re: fdsfdsfsd Od: Bubbuoon | Pridané: 11.1.2019 10:58 platis svojimi datami... vie ake domeny ta zaujimaju potom vie knim priradit oblast a vie ze ty z tej IPcky sa zaujimas o xhamster alza zive sme.sk a pod... hadaj co ti potom ponukne.. Zaroven ludi tlaci to zabezpeceneho spojenia a testuje tu technologiu v malom... Ono to zabezpecene je trosku 2 secna zbran napriklad dokazes odstrihnut stary SW ktory nema podporu dokazes odstrihnut klientov ktory nemaju certifikat ako overit... (lebo nemozu importovat novy danej cert autority) (napriklad niektore HW prehravace nevedia stiahnut mp3 podcasty update FW nieje a len preto ze stranka presla na povinny TLS a pouziva hash funkciu ktoru HW prehravac este nepozna - mozes si trhnut alebo proxovat.) A mozes sa chvalit ze to robis preto aby si chranil uzivatelov. Odpovedať Hodnotiť:

ja len tak... Od reg.: ujo horar | Pridané: 10.1.2019 12:24 a ja ze preco sa mi zrychlilo DSL pripojenie od telekomunistu na oticke rychlosti od Antiku... Odpovedať Známka: 0.0 Hodnotiť:

Re: ja len tak... Od reg.: ujo horar | Pridané: 10.1.2019 12:25 heh.. opticke samozrejme Odpovedať Známka: -3.3 Hodnotiť:

Dns titulok Od: Pepe z repe | Pridané: 10.1.2019 12:48 Cize zatial sa to da pouzit len na WiFi pri Android 9? Odpovedať Známka: 10.0 Hodnotiť:

hmmm. Od: hmmm. | Pridané: 10.1.2019 13:06 Takže na Windows PC je to zatiaľ nepoužiteľné... Odpovedať Hodnotiť:

Re: hmmm. Od: qwertyuiop1 | Pridané: 10.1.2019 13:19 Ako vela inych veci. Kym sa Microsoft rozhybe, medzitym mu parkrat ujde vlak. Doteraz nevie ani taku primitivnu vec, ako viacero DNS pri VPN. Takze kolegovia s Windows doteraz nemaju pristup k sluzbam v nasej LAN, ked su pripojeni k zakaznikovi cez VPN (takze vacsina z nich to riesi VPN-kou vo virtualke). Odpovedať Hodnotiť:

Re: hmmm. Od: dfdsd | Pridané: 10.1.2019 14:05 Vies si u seba nakonfigurovat BIND vo forward mode a kazdu zonu smerovat na iny DNS. Vsetkym adapterom na PC nastavit potom DNS 127.0.0.1 a netreba virtualko Odpovedať Známka: -5.0 Hodnotiť:

ničivý praktik S004E00091 Od: syntaxterrorXX. X | Pridané: 10.1.2019 14:19 Samozrejme ze vie. Ale len kvoli moznosti byt vzornym zamestnancom to ziadny odbornik robit priekazne nebude. Odpovedať Známka: -3.3 Hodnotiť:

Re: hmmm. Od: qwertyuiop1 | Pridané: 10.1.2019 14:41 My co mame normalny os s normalnym resolverom, co zvlada mat rozlicne zony forwardovane po rozlicnych interface si bind (btw: bezi dnsmasq pod windows? rychly google hovori ze nie) konfigurovat nebudeme a co robia windowsaci je ich vec ;) Odpovedať Hodnotiť:

Re: hmmm. Od reg.: palqo | Pridané: 11.1.2019 8:48 e? WTF? Ved vo Win ma VPN vlastny virtualny adapter s vlastnym DNS a pocet DNS serverov obmedzeny nie je. O com to rozpravas? Nie nahodou o split tunnelingu? Neviem ako je na tom Win s vlastnym VPN klientom, vzdy som v praci mal firemny program na VPN, ale podpora split tunnelingu zalezi od neho. Odpovedať Hodnotiť:

Re: hmmm. Od: qwertyuiop1 | Pridané: 11.1.2019 13:38 Ale nevies mu povedat, ktoru zonu ma resolvovat na ktorom dns, takze posle query na prvy, dostane naspat nxdomain a dalsieho sa uz nespyta. To, ze mas nastavene X dns serverov esxte nic neznamena. Aj v Linuxe/macOS, to co je v /etc/resolv.conf je rovnocenne, kazdy z nich ma vraciat rovnaku odpoved a podla toho s nimi systemovy resolver zachadza. Preto musi mat sposob, ako mu dat vediet, ze nejaka specialna zona (teda split-horizon vo firmach) ma mat specialne zaobchadzanie a nie kazdy DNS ju vie resolvnut. Co Windows nema. Odpovedať Hodnotiť:

Re: hmmm. Od reg.: palqo | Pridané: 11.1.2019 17:20 Nechapem, co tym chces povedat a co to ma spolocne s povodnym prispevkom. VPN subnety idu podla routovacej tabulky do VPN tunela a pouzivaju DNS virtualneho adaptera, ostatne DNS fyzickeho adaptera. Naco by mal na jeden request odpovedat viac ako jeden server, najma ak su odpovede identicke. Neviem preco to komplikujes este aj DNS zonami a split-brainom, ked mas vsetko smerovane na zaklade routingu na spravny DNS server. Neviem co tym chces dosiahnut. Odpovedať Hodnotiť:

Re: hmmm. Od: qwertyuiop1 | Pridané: 13.1.2019 0:00 > VPN tunela a pouzivaju DNS virtualneho adaptera, ostatne DNS fyzickeho adaptera. Presne toto nie je pravda. On totiz nevie, ake domeny vie resolvovat ten-ktory DNS na prislusnych adapteroch, takze vsetko ide do prveho v poradi, ten vrati bud vysledok alebo nxdomain. Do druheho by to islo, az keby prvy timeoutol. Takze ked mas VPN, a DNS na VPN adapteri funguje, tvojho lokalneho sa nikdy nic nespyta. Nema preco. On nema odkial vediet, ze query na domena.tvojalokalnasiet.sk ma posielat na konkretny DNS, este nevie do ktoreho subnetu/na ktory adapter patri, pretoze to sa danou query snazi zistit. Odpovedať Hodnotiť:

Re: hmmm. Od reg.: palqo | Pridané: 13.1.2019 8:50 Ale jasne ze vie. Staci pouzit proxy vo VPN subnete. Malokedy nejaky nemas vo firmach k dispozicii. Bez pouzitia proxy pojdu poziadavky lokalne, ziadne carovanie s DNS zonami, stacia dva browsery, jeden s a jeden bez proxy. Odpovedať Hodnotiť:

Re: hmmm. Od: qwertyuiop1 | Pridané: 13.1.2019 13:06 Proxy je sluzba na inej vrstve ako DNS, a riesi iba konkretne protokoly. Ked budes mat taketo siete tri, pouzijes tri browsery s dvoma rozlicnymi proxy? Ked budes mat takych sieti 10, pouzijes 10 browserov? A ako vyriesis ine protokoly, ako tie, co riesi proxy, napr. rdp alebo ssh? A tu sa dostavame zase k tomu, ze resolver vo windows nevie smerovat query na konkretne zony na konkretne DNS servery, t.j. to, o com som hovoril na zaciatku. Na systemoch, co to vedia, sa netreba skrabat lavou rukou za pravym uchom a spoliehat sa, ze snad tam bude proxy, ktora vie resolvovat svoju zonu. Odpovedať Hodnotiť:

Re: hmmm. Od reg.: palqo | Pridané: 13.1.2019 17:39 Zaujimave, ze som tak pracoval skoro 10 rokov. Aj s RDP a SSH a bez proxy. Win to mozno nevie, ale poriadny VPN klient ano. Odpovedať Hodnotiť:

Re: hmmm. Od: qwertyuiop1 | Pridané: 14.1.2019 10:38 Mozno ano, mozno nie, ale VPN klienta si nenavyberas, bud pouzijes toho co pouziva zakaznik, alebo si najdu inu firmu ktora s tym nebude mat problem. Odpovedať Hodnotiť:

Re: hmmm. Od: qwertyuiop1 | Pridané: 13.1.2019 13:08 P.S.: to uz je lepsie riesenie bind, spomenuty vyssie, beziaci na localhoste a nakonfigurovany na forward. Odpovedať Hodnotiť:

Re: hmmm. Od: ... | Pridané: 10.1.2019 22:36 nainštaluj si android emulátor :D Odpovedať Hodnotiť:

Re: hmmm. Od: aasami | Pridané: 11.1.2019 7:19 install arch Odpovedať Hodnotiť:

Holaholaa Od reg.: Lupaj | Pridané: 10.1.2019 15:12 Ja by som tie internety zakázala,priekazne. Odpovedať Známka: 2.0 Hodnotiť:

Skratatata Od: Agent | Pridané: 10.1.2019 16:13 DNS cez TLS je EMS bez DRS, yo... Odpovedať Hodnotiť:

ssl session id Od: xlx | Pridané: 10.1.2019 18:13 treba rychlo zabudat ssl session id, tym sa klient identifikuje dost jednoznacne aj ked je za nat-om s vela klientmi. Odpovedať Hodnotiť:

energotel Od: jancici | Pridané: 11.1.2019 8:36 Môj lokálny provider kupuje konektivity od energotelu. Tvrdí že s DNS dotazmi nerobí nič. Ale keď si nastavím /etc/resolv.conf na 9.9.9.9 alebo 1.1.1.1 a spustím dnsleak test https://dnsleaktest.com/ tak mi to napíše že používam openDNS a semtam aj google DNS resolver. Asi to bude energotel. Obchádzam to tak, že som si lokálne spustil dnscrypt-proxy a resolver je nastavený na 127.0.0.1 a teraz ten dns leak test píše tie DNS ktoré si nastavím v tom dnscrypte. Rozmýšlam, že by som dnscrypt nahradil stubby resolverom. Čo myslíte, má to význam? vďaka Odpovedať Hodnotiť:

Re: energotel Od: okok | Pridané: 17.1.2019 20:55 Dobre robis, tiez uzivam dnscrypt-proxy a je to topka. Nevidim jediny dovod preco pouzivat DNS providera alebo nebodaj GOOGLE. Napriklad Telekom mal nedavno a mozno este ma problem s DNS spoofingom. DNSCRYPT, rocks Odpovedať Hodnotiť:

Dá sa ešte veriť googlu ? Od: Antireklama | Pridané: 13.1.2019 21:20 Medzi klientom a DNS šifrovane a potom v googli šup do databázy Odpovedať Hodnotiť:

Pridať komentár