在上周 OpenDNS 發表了他們新工具 – DNSCrypt的預覽版。將它吹捧成是網路私密性和安全性的巨大進步。立意很簡單,就是加密使用者在查詢DNS過程中的全部流量。這是個很好的想法,但我覺得他們並沒有真正解決問題。
根據OpenDNS所說,這是世上第一支真正實作DNSCurve的程式。他們的目標是提供整個DNS查詢過程的私密性(Privacy)和真實性(Authenticity)。不幸的是,你不能只用加密來包裝現有的通訊協定,就期望會變得比以前更安全。你還必須要看看整體的網路運作模式。當然你的DNS查詢會變得私密,讓同一個網路上的其他使用者或攻擊者都無法看到。但問題是出在你得到結果的幾毫秒之後。當瀏覽器對伺服器發出請求時,你透過加密DNS封包所得到的私密性瞬間消失。一個能夠看到你DNS封包的攻擊者,也就可能可以看到其他的網路流量。
如果你對資料的真實性比對私密性還重視,那有更好的方法可以做到。DNSSEC是給你的最佳答案。一個DNSSEC的主要優點是一些頂級網域(TLD)可以做到完整的認證直到根伺服器(該列表會指出有哪些頂級網域是簽證過的)。根據OpenDNS的DNSCrypt常見問答集,DNSSEC和DNSCrypt的功能完全相容:「他們完全不會有任何衝突。」 繼續閱讀