TLS를 통한 DNS

소개

기존 DNS 쿼리 및 응답은 암호화 없이 UDP 또는 TCP를 통해 전송됩니다. 이는 도청 및 스푸핑(DNS 기반 인터넷 필터링 포함)에 취약합니다. 재귀 리졸버에서 클라이언트에 대한 응답은 원하지 않거나 악의적인 변경에 가장 취약한 반면, 재귀 리졸버와 신뢰할 수 있는 네임서버 간의 통신에는 추가 보호가 적용되는 경우가 많습니다.

이러한 문제를 해결하기 위해 Google Public DNS는 RFC 7858에 지정된 대로 TLS로 암호화된 TCP 연결을 통해 DNS 변환을 제공합니다. DNS-over TLS는 클라이언트와 리졸버 간의 개인 정보 보호 및 보안을 강화합니다. 이는 DNSSEC를 보완하고 클라이언트로 전송되는 도중에 수정 또는 스푸핑으로부터 DNSSEC 검증 결과를 보호합니다.

작동 방식

클라이언트 시스템은 엄격한 개인 정보 보호와 상황별 개인 정보 보호라는 두 가지 프로필 중 하나로 DNS-over-TLS를 사용할 수 있습니다. 엄격한 개인 정보 보호 프로필을 사용하면 사용자가 DNS over TLS 서비스를 위한 DNS 서버 이름 (RFC 8310의 인증 도메인 이름)을 구성하고 클라이언트는 포트 853에서 DNS 서버로의 보안 TLS 연결을 만들 수 있어야 합니다. 보안 연결 설정에 실패하면 심각한 오류이며 클라이언트에 대한 DNS 서비스가 제공되지 않습니다.

상황별 개인 정보 보호 프로필을 사용하면 DNS 서버 IP 주소를 사용자가 직접 구성하거나 DHCP 또는 다른 수단을 사용하여 로컬 네트워크에서 가져올 수 있습니다. 클라이언트 리졸버는 포트 853에서 지정된 DNS 서버에 대한 보안 연결을 설정하려고 시도합니다. 보안 연결이 설정된 경우 경로에 있는 수동적 관찰자의 사용자 쿼리에 대한 개인 정보 보호가 제공됩니다. 클라이언트는 서버의 진위를 확인하지 않으므로 활성 공격자로부터 보호되지 않습니다. 클라이언트가 포트 853에서 보안 연결을 설정할 수 없으면 보안 또는 개인 정보 보호 없이 UDP 또는 TCP를 통해 표준 DNS 포트 53에서 DNS 서버와의 통신으로 대체됩니다. Opportunistic Privacy(기회적 개인 정보 보호)의 사용은 엄격한 개인 정보 보호 프로필을 광범위하게 채택하여 강화된 개인 정보 보호를 점진적으로 배포할 수 있도록 지원하기 위한 것입니다.

엄격한 개인 정보 보호 프로필을 사용하는 경우 스텁 리졸버는 다음 단계에 따라 DNS-over-TLS 연결을 설정합니다.

1. 스텁 리졸버는 DNS-over-TLS 리졸버 이름 dns.google로 구성됩니다.
2. 스터브 리졸버는 로컬 DNS 리졸버를 사용하여 dns.google의 IP 주소를 가져옵니다.
3. 스텁 리졸버는 해당 IP 주소의 포트 853에 TCP 연결을 설정합니다.
4. 스텁 리졸버가 Google Public DNS 리졸버와 TLS 핸드셰이크를 시작합니다.
5. Google Public DNS 서버는 TLS 인증서를 신뢰할 수 있는 루트 인증서까지 전체 TLS 인증서 체인과 함께 반환합니다.
6. 스터브 리졸버는 제공된 인증서를 기반으로 서버의 ID를 확인합니다.
   • ID를 확인할 수 없으면 DNS 이름 확인에 실패하고 스터브 리졸버가 오류를 반환합니다.
7. TLS 연결이 설정되면 스텁 리졸버에 Google Public DNS 서버와의 보안 통신 경로가 생깁니다.
8. 이제 스터브 리졸버가 DNS 쿼리를 보내고 연결을 통해 응답을 수신할 수 있습니다.

편의적 개인 정보 보호 프로필을 사용할 때 클라이언트는 먼저 서버에 대한 보안 TLS 연결을 만들려고 합니다. 이 방법은 위와 유사하게 수행되며 한 가지 중요한 차이점이 있습니다. 클라이언트에서 인증서 유효성 검사를 실행하지 않는다는 점입니다. 즉, 서버의 ID를 신뢰할 수 없습니다. 포트 853에서 서버로의 TLS 연결을 설정할 수 없는 경우 스텁 리졸버는 포트 53의 DNS 서버와의 통신으로 대체됩니다.

개인 정보 보호

Google의 개인정보처리방침은 DNS-over-TLS 서비스에 적용됩니다.

2019년 6월 27일에 DNS-over-TLS 서비스에 EDNS 클라이언트 서브넷 (ECS)이 다시 사용 설정되었습니다. 서비스 시작 시 ECS가 사용 중지되었습니다.

표준 지원

Google Public DNS는 RFC 7858에 따라 DNS-over-TLS를 구현합니다. 또한 지연 시간이 짧은 고품질 DNS 서비스를 제공하기 위해 다음 권장사항을 지원합니다.

• TLS 1.3 (RFC 8846)
• TCP Fast Open (RFC 7413)
• TCP를 통한 DNS 전송 구현 요구사항 (RFC 7766)

사용하기

Android 9 (Pie) 이상을 실행하는 기기에서 구성하려면 instructions를 참고하세요.

DNS-over-TLS는 IPv6 전용 Google Public DNS64 서비스에도 지원됩니다. DNS64는 IPv6를 사용할 수 있을 때만 작동하므로 여러 네트워크에 연결할 휴대기기에는 DNS64를 구성하지 않는 것이 좋습니다.