기존 DNS 쿼리 및 응답은 암호화 없이 UDP 또는 TCP를 통해 전송됩니다.
이는 도청 및 스푸핑(DNS 기반 인터넷 필터링 포함)에 취약합니다.
재귀 리졸버에서 클라이언트에 대한 응답은 원하지 않거나 악의적인 변경에 가장 취약한 반면, 재귀 리졸버와 신뢰할 수 있는 네임서버 간의 통신에는 추가 보호가 적용되는 경우가 많습니다.
이러한 문제를 해결하기 위해 Google Public DNS는 RFC 7858에 지정된 대로 TLS로 암호화된 TCP 연결을 통해 DNS 변환을 제공합니다.
DNS-over TLS는 클라이언트와 리졸버 간의 개인 정보 보호 및 보안을 강화합니다. 이는 DNSSEC를 보완하고 클라이언트로 전송되는 도중에 수정 또는 스푸핑으로부터 DNSSEC 검증 결과를 보호합니다.
작동 방식
클라이언트 시스템은 엄격한 개인 정보 보호와 상황별 개인 정보 보호라는 두 가지 프로필 중 하나로 DNS-over-TLS를 사용할 수 있습니다. 엄격한 개인 정보 보호 프로필을 사용하면 사용자가 DNS over TLS 서비스를 위한 DNS 서버 이름 (RFC 8310의 인증 도메인 이름)을 구성하고 클라이언트는 포트 853에서 DNS 서버로의 보안 TLS 연결을 만들 수 있어야 합니다. 보안 연결 설정에 실패하면 심각한 오류이며 클라이언트에 대한 DNS 서비스가 제공되지 않습니다.
상황별 개인 정보 보호 프로필을 사용하면 DNS 서버 IP 주소를 사용자가 직접 구성하거나 DHCP 또는 다른 수단을 사용하여 로컬 네트워크에서 가져올 수 있습니다. 클라이언트 리졸버는 포트 853에서 지정된 DNS 서버에 대한 보안 연결을 설정하려고 시도합니다. 보안 연결이 설정된 경우 경로에 있는 수동적 관찰자의 사용자 쿼리에 대한 개인 정보 보호가 제공됩니다. 클라이언트는 서버의 진위를 확인하지 않으므로 활성 공격자로부터 보호되지 않습니다.
클라이언트가 포트 853에서 보안 연결을 설정할 수 없으면 보안 또는 개인 정보 보호 없이 UDP 또는 TCP를 통해 표준 DNS 포트 53에서 DNS 서버와의 통신으로 대체됩니다. Opportunistic Privacy(기회적 개인 정보 보호)의 사용은 엄격한 개인 정보 보호 프로필을 광범위하게 채택하여 강화된 개인 정보 보호를 점진적으로 배포할 수 있도록 지원하기 위한 것입니다.
엄격한 개인 정보 보호 프로필을 사용하는 경우 스텁 리졸버는 다음 단계에 따라 DNS-over-TLS 연결을 설정합니다.
스텁 리졸버는 DNS-over-TLS 리졸버 이름 dns.google로 구성됩니다.
스터브 리졸버는 로컬 DNS 리졸버를 사용하여 dns.google의 IP 주소를 가져옵니다.
스텁 리졸버는 해당 IP 주소의 포트 853에 TCP 연결을 설정합니다.
스텁 리졸버가 Google Public DNS 리졸버와 TLS 핸드셰이크를 시작합니다.
Google Public DNS 서버는 TLS 인증서를 신뢰할 수 있는 루트 인증서까지 전체 TLS 인증서 체인과 함께 반환합니다.
스터브 리졸버는 제공된 인증서를 기반으로 서버의 ID를 확인합니다.
ID를 확인할 수 없으면 DNS 이름 확인에 실패하고 스터브 리졸버가 오류를 반환합니다.
TLS 연결이 설정되면 스텁 리졸버에 Google Public DNS 서버와의 보안 통신 경로가 생깁니다.
이제 스터브 리졸버가 DNS 쿼리를 보내고 연결을 통해 응답을 수신할 수 있습니다.
편의적 개인 정보 보호 프로필을 사용할 때 클라이언트는 먼저 서버에 대한 보안 TLS 연결을 만들려고 합니다. 이 방법은 위와 유사하게 수행되며 한 가지 중요한 차이점이 있습니다. 클라이언트에서 인증서 유효성 검사를 실행하지 않는다는 점입니다.
즉, 서버의 ID를 신뢰할 수 없습니다. 포트 853에서 서버로의 TLS 연결을 설정할 수 없는 경우 스텁 리졸버는 포트 53의 DNS 서버와의 통신으로 대체됩니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["필요한 정보가 없음","missingTheInformationINeed","thumb-down"],["너무 복잡함/단계 수가 너무 많음","tooComplicatedTooManySteps","thumb-down"],["오래됨","outOfDate","thumb-down"],["번역 문제","translationIssue","thumb-down"],["샘플/코드 문제","samplesCodeIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2024-09-03(UTC)"],[[["Google Public DNS offers DNS resolution over TLS to enhance privacy and security between clients and resolvers, protecting against eavesdropping and spoofing."],["DNS-over-TLS operates using strict or opportunistic privacy profiles, with strict requiring authenticated connections to a specific server and opportunistic allowing fallback to unencrypted DNS if TLS fails."],["Client systems using DNS-over-TLS establish a secure connection by verifying the server's identity through TLS certificates, ensuring data is exchanged over an encrypted channel."],["Google Public DNS supports standards such as TLS 1.3, TCP Fast Open, and DNS Transport over TCP to provide a high-quality and low-latency service."],["Users can configure DNS-over-TLS on devices running Android 9 or higher and also utilize it with the IPv6-only Google Public DNS64 service, though the latter is not recommended for mobile devices on multiple networks."]]],["DNS-over-TLS encrypts DNS queries and responses, enhancing privacy and security. It operates in two profiles: *strict* and *opportunistic*. Strict requires secure TLS connection verification on port 853, failing if validation fails. Opportunistic attempts secure connection on 853 but falls back to unsecured port 53 if it fails, without validating the server. Clients using strict profile resolve the server name, establish a TLS connection on port 853, and validate the server's certificate. Google Public DNS supports this method and follows related RFC specifications.\n"]]
