隱私、安全及家長監護之間有什麼關係?我們有辦法全部兼顧嗎?
DNS over HTTPS(DoH)在 2019 年成了新聞頭條的熱門字。Google 在去年 6 月宣布正式支援 DoH,緊接著 7 月時 Mozilla 因為在 Firefox 上支援 DoH 被英國網際網路服務供應商聯盟(ISPA)點名為 2019 網路惡霸(後來該提名因為全球撻伐而被撤除)。這象徵著一項新技術正逐漸瓦解網路供應商及政府機關的既有網路運作模式。有鑑於近來全球 DNS 劫持事件頻繁發生,就讓我們來看看 DoH 有什麼好處、對於我們所依賴甚至為之付費的服務又帶來哪些影響,以及最簡易、最不須改變既有使用習慣的方法,在您所有的裝置上使用這個強調「隱私至上」的技術。
DNS over HTTPS:照亮網路隱私的未來
現今多數熱門網站都使用 HTTPS 來加密連線,保護如密碼、信用卡資訊與網路銀行登入等敏感資料。但是,DNS 解析還是以明文進行傳輸。舉例來說,假設您在瀏覽器上輸入 blog.synology.com,此搜尋會聯繫(常常是多台)DNS 伺服器,尋求協助直到找到與網域 blog.synology.com(例如 1.23.456.789)的對應 IP 位置。
因為 DNS 是以明文傳輸,相關的 DNS 伺服器 (例如網路供應商的伺服器) 以及任何此路徑中的路由器都可以知道您拜訪哪些網站。一段時間後,這些瀏覽紀錄就成為您網路活動的完整寫照,並可能被用來作為廣告推銷使用。能查看您的 DNS 要求也代表有心人士能竄改回應,將您重新導向至詐騙網站。這就是所謂的「DNS 劫持」,例如 2019 年很多人就因此被騙交出自己的 PayPal、Netflix、Gmail 與 Uber 的登入資訊。
而這也正是 DoH 登場的時候了。DoH 透過 HTTPS 加密您所有的 DNS 解析,因此只有 DNS 用戶端 (您的瀏覽器) 與您所選用的 DoH 伺服器才知道您拜訪過哪些網站,而其他人不得其門而入。這也有效避免他人窺探或將流量導入至惡意網站。
目前為止,包含 Google、Cloudflare 以及其他數間公共 DNS 服務商都已開放 DoH 服務。Mozilla 也和Cloudflare 合作,讓 Firefox 使用者能透過 DoH 來保護日常的網頁瀏覽。
那為什麼 Mozilla 會被英國的網路供應商稱作「網路惡霸」呢?
隱私 vs. 內容過濾:一大難題
首先,某些國家的網路供應商因受到法律規定,必須保留用戶的瀏覽紀錄達一段時間 (如 12 個月) 以助於犯罪調查,若 DoH 變成主流,這恐成為一大阻礙。這也讓網路供應商難以提供須付費的家長監護與安全防護服務,因為他們無從查看並攔截 DNS 解析,而讓成人、惡意網站得以隱藏形跡。
其實,受影響的不單單只有網路供應商。
透過 DNS 進行內容過濾非常普遍,幾乎每個安裝在您的網路中的家長監護裝置都使用它,而許多家庭安全產品 (即家庭防火牆) 也使用它作為一種低誤判率的辨識威脅方式。如果 DNS 解析在通過這些產品前就被加密的話,那這些產品也就無用武之地了。
而這也是為什麼在文章一開始我們會說 DoH 正瓦解既有的網路運作模式,對家庭用戶亦然。但以目前來說,要享受這項技術所帶來的好處可能還需等上一段時間,大部分的應用程式與作業系統 (Windows、macOS 等) 都不具原生 DoH 支援。若要設定,通常需要透過命令列工具,而每一個您欲保護的裝置都要個別設定一遍。
路由器層級 DoH,讓您「全部兼顧」
若設定裝置時遇到繁瑣、重複的程序時,直覺上我們就會把它們移到路由器層級來解決。這也是為什麼 Synology 路由器上的 Safe Access 與 Threat Prevention 因此而誕生,一次完成家長監護以及網路保護的需求。這在如今許多家庭中無法做複雜設定的裝置 (如 IoT 裝置) 數量不斷攀升的同時,更顯重要性。這也是我們因此在 Synology Router Manager (SRM) 1.2.3 路由器作業系統導入了 DoH。
一個勾選方塊,即在所有連接裝置生效
路由器上原生的 DoH 支援意味著每當您裝置上的 DNS 解析通過路由器時,都會透過 HTTPS 進行加密。只需在 SRM 上選用您所偏好的 DoH 伺服器 (Google、Cloudflare,或輸入任何 DoH 伺服器網址) 。只需兩三個點擊,您就可以保護您的整個網路遠離他人窺探。
基於 DNS 的內容過濾依然可行
因為 DNS 解析只有當通過路由器時會被加密,Safe Access 中的 DNS 威脅情報與家長監護功能得以持續作用。舉例來說,如果您的孩子無意間進入成人網站,路由器將會攔截此 DNS 解析並顯示您所自訂的訊息,而孩子其他正常的搜尋則會被加密,他人無法將其瀏覽歷程記錄作為非法用途使用。 Synology 路由器讓您一次兩全其美,這正是 SRM 1.2.3 期許能帶給使用者更加安全且隱私的網路體驗。
*Synology 建議使用者直接在 Synology 路由器上啟用 DoH 功能,不要在其它設備上啟用。如果想要避免其它使用者在如 Firefox 等瀏覽器上啟用 DoH 繞過網頁過濾,使用者可以在 Safe Access 的封鎖清單中加入特定 DoH 伺服器的 URL。當設備無法查詢到 DoH 伺服器時,它將回到未加密路由器的狀態。
*對於使用自行託管 DNS 伺服器的用戶,啟用 DoH 會阻止設備查詢本地 DNS 伺服器,因此現階段不建議使用。