OpenNews: В следующем выпуске Android появится поддержка "DNS over TLS"

14.04.2018 12:39 В следующем выпуске Android появится поддержка "DNS over TLS"

Компания Google сообщила о добавлении в тестовые сборки Android P Developer Preview, используемые для тестирования функциональности следующего значительного релиза мобильной платформы Android, поддержки технологии "DNS over TLS", позволяющей защитить канал связи с DNS-сервером. Таким образом, платформа Android станет первой популярной ОС в которой будет доступна из коробки функция шифрования трафика DNS, что может существенно подтолкнуть продвижение технологии "DNS over TLS" и в других системах.

"DNS over TLS" отличается от "DNS over HTTPS" применением штатного протокола DNS (обычно используется сетевой порт 853), завёрнутого в шифрованный канал связи, организованный при помощи протокола TLS с проверкой валидности хоста через TLS/SSL-сертификаты, заверенные удостоверяющим центром (в "DNS over HTTPS" резолвер обрабатывает запросы через Web API). Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

"DNS over TLS" и "DNS over HTTPS" позволяют исключить утечки сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, защищают от MITM-атак по подмене DNS-трафика и помогают противостоять блокировкам на уровне DNS. Для тестирования предлагается подборка поддерживаемых сообществом серверов "DNS over TLS", в том числе данный протокол теперь поддерживают серверы 9.9.9.9 (Quad9) и 1.1.1.1 (Cloudflare). Из DNS-серверов с поддержкой "DNS over HTTPS" можно отметить Unbound и Knot (только в резолвере), в NSD и BIND можно настроить через stunnel, nginx или HAProxy.

В настройках Android (Private DNS в секции Network & internet ) предоставлена возможность автоматического включения "DNS over TLS" для текущего DNS-сервера, если он поддерживает данный протокол, а также опция для указания сервера вручную. Для разработчиков приложений в API добавлена новая функция LinkProperties.isPrivateDnsActive(), позволяющая проверить применяется ли в текущем окружении защищённый канал связи для DNS. Сборки Android P Developer Preview с поддержкой "DNS over TLS" можно получить в рамках программы бета-тестирования, доступной для пользователей устройств Pixel, Pixel XL, Pixel 2 и Pixel 2 XL.

исправить +32 +/–

Лицензия: CC-BY

Тип: К сведению

Ключевые слова: dns, tls, android

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Линейный вид | Ajax | Показать все | RSS

1.1, Аноним, 13:05, 14/04/2018 [ответить] [смотреть все] [к модератору]	–4 +/–
Владельцы Ляофонов и вообще всех старых то есть старше года моделей пролетают,... весь текст скрыт [показать]

2.3, Crazy Alex, 13:16, 14/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Кто-то и на компе на предустановленной винде сидит, и что?

3.4, Аноним, 13:23, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	+3 +/–
Не вижу связи.

3.5, use, 13:39, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	+3 +/–
Я могу обновить винду, а андроид - нет.

4.8, Аноним, 13:46, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
И кто тебе виноват? Покупай китайфаоны с официальным lineageOS.

5.33, macfaq, 18:40, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Их не так много, к сожалению Ещё хуже, если нужна, например, съёмная батарея ... весь текст скрыт [показать]

5.38, свободнеечемдругие, 19:34, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Где такой купить Крупные магазины в Москве такими не торгуют ... весь текст скрыт [показать]

6.59, поледанныхотсутств, 09:11, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Торгуют вот к примеру mvideo, ozon продают oneplus 3 t 5 t , xiaomi mi5s plus ... весь текст скрыт [показать]

7.101, свободнеечемдругие, 00:18, 17/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Лжёте либо вы, либо продавцы Мвидео В тех описаниях этих телефонов чётко указа... весь текст скрыт [показать]

8.106, лемакс2, 08:08, 18/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
что вам мешает зайти на сайт линейки и за 10 минут накатить новый андроид у мен... весь текст скрыт [показать]

5.40, YetAnotherOnanym, 21:13, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
А кто может дать гарантию, что там правильный линьяж, а не подпиленный Ва Сяном,... весь текст скрыт [показать]

6.46, Crazy Alex, 01:04, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
xpda кто-то отменил?

6.61, Аноним, 10:56, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
Какую ещё тебе гарантию Правильных прошивок ни один производитель не шьёт Поку... весь текст скрыт [показать]

7.75, YetAnotherOnanym, 17:33, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
> правильный с оф. сайта Всё понятно.

8.81, Аноним, 08:37, 16/04/2018 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
А тебе откуда надо Ну скачай васяносборку с 4пда если повезёт, она может оказа... весь текст скрыт [показать]

9.86, YetAnotherOnanym, 12:02, 16/04/2018 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
Перепиливальщики андроеда с оф сайта линейки, равно как их медноголовые или репл... весь текст скрыт [показать]

10.91, Аноним, 21:46, 16/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
У тебя выход один - не пользуйся смартфонами

11.107, лемакс2, 08:10, 18/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
еще надеть шапочку из фольги 100 защита... весь текст скрыт [показать]

4.23, AnonPlus, 16:34, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	+3 +/–
Если дрова есть - можешь А если производитель забил на дрова для новой винды - ... весь текст скрыт [показать]

5.41, Онаним, 21:53, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
И как это чудо называется Я думал если хочешь нормально обновляться и без пробл... весь текст скрыт [показать]

6.50, Аноним, 03:02, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Дешевле, чем инвестировать своё время в портирование LineageOS Если устройство ... весь текст скрыт [показать]

7.57, Аноним, 08:35, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Если Вы за несколько дней зарабатываете на Пиксель - рад за Вас Большинству люд... весь текст скрыт [показать]

6.62, Аноним, 11:00, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
А пойти на вики и посмотреть список поддерживаемых устройств не пробовал Даже с... весь текст скрыт [показать]

4.54, Аноним, 08:03, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Как мне обновить ядро в Windows XP и системные библиотеки чтобы закрыть все ошиб... весь текст скрыт [показать]

5.58, Аноним, 08:36, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
РеактОС не подойдет ... весь текст скрыт [показать]

6.70, Аноним, 15:26, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
> РеактОС не подойдет? еще сыроват

7.84, Аноним, 08:40, 16/04/2018 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
>> РеактОС не подойдет? > еще сыроват > еще Оптимист.

5.78, use, 22:21, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Извините, одно дело говорить о телефонах, поддержка систем у которых кончается з... весь текст скрыт [показать]

6.80, Аноним, 01:02, 16/04/2018 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
Вы не пробовали ставить семёрку на новые ноуты Начиная с 2017 года выпуска мног... весь текст скрыт [показать]

7.108, iPony, 14:37, 18/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
А при чём тут это? Речь про актуальный софт на старом железе.

4.63, dmm11, 11:53, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
зачем его обновлять? г-но не обновляют, а сливают в канализацию.

5.65, Аноним, 13:22, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
На негoвно денег дашь?

6.85, Аноним, 08:41, 16/04/2018 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
Сам заработать не пробовал?

4.79, Аноним, 22:47, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
Не можешь Процесс обновления должен иметь какой-то смысл быстрее, выше, сильне... весь текст скрыт [показать]

2.90, Аноним, 21:44, 16/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Рутируй и ставь dnscrypt

1.6, Аноним, 13:40, 14/04/2018 [ответить] [смотреть все] [к модератору]	+/–
Как здорово, что в редакции опеннета есть люди с телепатическими возможностями ... весь текст скрыт [показать]

2.83, Аноним, 08:39, 16/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
Заминусовали то.

1.7, D, 13:40, 14/04/2018 [ответить] [смотреть все] [к модератору]	–8 +/–
И что Ну не прочтут запросы к днс, так разберут, куда летит запрос на страницу ... весь текст скрыт [показать]

2.9, Anonymous Coward, 13:59, 14/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–2 +/–
Ты не понял, малтшик Вкупе с https это сделает блокировку сайтов еще более проб... весь текст скрыт [показать] [показать ветку]

3.16, anomymous, 14:51, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Не совсем. SNI как ходил открытым текстом, так и ходит...

4.18, Аноним, 15:06, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Когда залатают?

5.19, anonymous, 15:25, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Насколько я помню в TLS 1.3.

6.24, AnonPlus, 16:35, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
Нет, TLS 1 3 уже приняли, но шифрование SNI туда не вошло ... весь текст скрыт [показать]

7.43, й, 23:26, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	–3 +/–
sni -- это tls protocol extension, на практике все его умеют в 2018

5.27, тов. майор, 16:57, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
примерно никогда. Так мы с кураторами гугля решили.

3.20, Аноним, 15:58, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
просто блокировать ip адрес со всеми сайтами находящимися на сервере Тоже мне п... весь текст скрыт [показать]

4.28, тов. майор, 16:58, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
ващета проблема Но мы - боремся ... весь текст скрыт [показать]

5.36, Аноним, 19:31, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
И многие у вас в службе пишут безграмотно?

4.45, Аноним, 00:02, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Вообще-то проблема Посмотри, ютуб и фейсбук заблокированы в РФ Там есть запрещ... весь текст скрыт [показать]

5.48, тов. майор, 01:31, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
но ни разу не та о которой ты думаешь слушай, ну зачем нам блокировать наших лу... весь текст скрыт [показать]

6.51, Аноним, 05:56, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
НеДимон до сих пор лежит Уже скоро год будет после того суда ... весь текст скрыт [показать]

1.10, Хряк, 14:02, 14/04/2018 [ответить] [смотреть все] [к модератору]

+/–

> "DNS over TLS" отличается от "DNS over HTTPS" применением штатного протокола DNS (обычно используется сетевой порт 853), завёрнутого в шифрованный канал связи

И тут же

> "DNS over TLS" и "DNS over HTTPS" позволяют исключить утечки сведений

Чот-то совсем не понятно, "DNS over TLS" более безопасный чем "DNS over HTTPS". Или нет разницы?

2.11, Ан, 14:08, 14/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+5 +/–
В обоих случаях используется TLS Только в случае Https это не класический DNS п... весь текст скрыт [показать] [показать ветку]

2.92, Аноним, 21:49, 16/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Глобально меньше

1.12, xm, 14:17, 14/04/2018 [ответить] [смотреть все] [к модератору]	+/–
С развёртыванием поддержки DNS-over-TLS первопроходец Dnscrypt отправляется на свалку истории.

2.13, Аноним, 14:32, 14/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
вот только какой из этих вариантов таки сесурнее Емнип dnscrypt тоже поддержива... весь текст скрыт [показать] [показать ветку]

3.15, xm, 14:45, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
DNScrypt секурнее решена проблема первой ночи , но сложен в применении и реал... весь текст скрыт [показать]

4.47, Аноним, 01:28, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	–4 +/–
В каком месте DNSCrypt сложен Скачать пакет собрать из сырцов, прописать стро... весь текст скрыт [показать]

5.52, Аноним, 06:02, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
В реализации, анон Никто не говорит про сложность установки мокрописьки для кон... весь текст скрыт [показать]

6.64, ., 12:35, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
у пейсателей на игого - так характеризуется все, что написано на нормальных язык... весь текст скрыт [показать]

7.69, Аноним, 14:56, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Но это вики репозитория автора оригинального DNSCrypt, лол Ниасилятор сперва на... весь текст скрыт [показать]

6.77, Аноним, 20:35, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Не было там никакой сложности и ужаса, пока go-обезьяны не занесли Причина дроп... весь текст скрыт [показать]

6.94, Аноним, 21:53, 16/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
А посмотреть более свежее описание религия не позволяет?

5.66, Аноним, 13:37, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
лол, да какая разница кто автор первой, а кто второй версии как раз таки мотива... весь текст скрыт [показать]

6.95, Аноним, 21:56, 16/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Разницы НИКАКОЙ Один и тот же Есть варианты альтернативы Смотреть нужно ещ... весь текст скрыт [показать]

5.74, xm, 16:18, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Во всех Посмотрите принципы, реализацию и поддержание сервера Плюс для клиента... весь текст скрыт [показать]

6.96, Аноним, 21:56, 16/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Чего там нужно для клиента?

7.102, xm, 00:58, 17/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Прокси DNScrypt, мон петит ами Unbound да, вероятно, все остальные внезапно ... весь текст скрыт [показать]

8.104, Аноним, 11:15, 17/04/2018 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
Обалденно. А как запросы будут шифроваться? Прямотоком?

9.105, xm, 13:09, 17/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Ещё более внезапно DNS-over-TLS этой прокси-прокладки не требует Равно как и ... весь текст скрыт [показать]

5.76, xm, 17:38, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Ошибаетесь Он поддерживает обслуживание запросов, но не работу с ключами А там... весь текст скрыт [показать]

2.93, Аноним, 21:50, 16/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–3 +/–
Чего глупости несем???

1.21, Аноним, 16:09, 14/04/2018 [ответить] [смотреть все] [к модератору]	+3 +/–
Блет не пойму, днскрипт это лучше или хуже?

2.25, AnonPlus, 16:38, 14/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
Хуже тем, что не является стандартом Стандартизированные решения имеют больше ш... весь текст скрыт [показать] [показать ветку]

2.30, пох, 17:02, 14/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–1 +/–
лучше хотя бы тем, что его не навязывает гугль Но по этой же причине и не взлет... весь текст скрыт [показать] [показать ветку]

2.97, Аноним, 21:57, 16/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Пока лучше всех вариантов

1.22, YetAnotherOnanym, 16:13, 14/04/2018 [ответить] [смотреть все] [к модератору]	+6 +/–
Провайдерам нельзя иметь своих абонентов, направляя их трафик на IP-адреса, выбранные провайдером. Только Гуглу и его доверенным организациям можно распоряжаться трафиком андроидовладельцев.

2.26, AnonPlus, 16:40, 14/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+3 +/–
Видимо, вы невнимательно читали новость Если текущий сервер, который вы и так у... весь текст скрыт [показать] [показать ветку]

3.29, гугль, 17:00, 14/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
да, мы уже давно работаем над тем, чтоб в настройках можно было написать хоть й... весь текст скрыт [показать]

2.32, vitalif, 18:39, 14/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
Ну это лучше, чем родному ФСБ

2.37, Аноним, 19:32, 14/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]

–1 +/–

>андроидовладельцев

Прочитал как "неандертальцев". Проиграл.

2.82, Аноним, 08:38, 16/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Гугл не поддерживает DNS-over-TLS.

1.35, Аноним, 19:00, 14/04/2018 [ответить] [смотреть все] [к модератору]	+2 +/–
Следующим шагом надо запретить днс открытым текстом и днс с неодобренными гуглем... весь текст скрыт [показать]

2.39, Аноним, 19:34, 14/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
а можно сразу в требованиях к ведровендорам прописать захардкоженные 8 8 8 8 и 4... весь текст скрыт [показать] [показать ветку]

3.49, Аноним, 02:21, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+3 +/–
Если не можешь запомнить второй днс, то и нефиг писать его, умножая безграмотнос... весь текст скрыт [показать]

4.60, Аноним, 09:36, 15/04/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Запомнил.

1.42, Аноним, 23:21, 14/04/2018 [ответить] [смотреть все] [к модератору]	–1 +/–
Пусть хоть 20 шифровальщиков навесят Попробуй потом снифером трафик словить что... весь текст скрыт [показать]

2.89, Аноним, 17:16, 16/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
подскажи, что ты разрабатываешь? (что случайно не вляпаться)

1.55, Аноним, 08:07, 15/04/2018 [ответить] [смотреть все] [к модератору]	+1 +/–
Мы всегда сталкиваемся с проблемами отношений доверия Кому доверять своему пров... весь текст скрыт [показать]

2.98, Аноним, 22:00, 16/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Если перед тобой стоит вопрос доверия к провайдеру то тебе ничего не поможет... весь текст скрыт [показать] [показать ветку]

2.103, xm, 01:03, 17/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
После внедрения DNS-over-TLS вопрос доверия можно легко решить запустив минуты з... весь текст скрыт [показать] [показать ветку]

1.72, Аноним, 16:09, 15/04/2018 [ответить] [смотреть все] [к модератору]	+2 +/–
Подскажите пожалуйста,что такое TLS,и почему при соединении с любым сайтом моя л... весь текст скрыт [показать]

2.88, YetAnotherOnanym, 15:11, 16/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Там у лисы на обратной стороне тумблер должен быть.

1.87, Аноним, 13:59, 16/04/2018 [ответить] [смотреть все] [к модератору]	+/–
А на какой домен генерить сертификат в связве bind и nginx И что если там на од... весь текст скрыт [показать]

2.99, Аноним, 22:03, 16/04/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Что ты там собрался генерить? У тебя свой днс-сервер?

3.110, Аноним, 18:43, 19/04/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Да, я на все свои сайты свой днс сервер поднимаю.

1.109, gaga, 18:03, 18/04/2018 [ответить] [смотреть все] [к модератору]	+/–
Лучше бы выпилили SNI из коробки, было бы полезнее.

1.111, Аноним, 13:22, 20/04/2018 [ответить] [смотреть все] [к модератору]	+/–
Зашибись Ещё encrypted sni добавить и пипец Что провайдерам останется, что б у... весь текст скрыт [показать]

Добавить комментарий