最近，谷歌正式发布了Android 9 Pie，其中包含了一系列围绕数字福利、安全和隐私的新功能。如果你在试用版或更新后仔细查看过你手机上的网络设置，你可能会注意到Android现在支持的一种新的私有DNS模式。这个新功能简化了在Android上配置自定义安全DNS解析程序的过程，这意味着你的设备和你访问的网站之间的各方将无法窥探你的DNS查询，因为它们将被加密。它背后的协议TLS也负责你通过HTTPS访问网站时在地址栏中看到的绿色锁图标。同样的技术对于加密DNS查询非常有用，确保它们不会被篡改，并且对于isp、移动运营商和您与DNS解析程序之间的网络路径中的任何其他人来说都是不可理解的。这些新的安全协议称为HTTPS上的DNS和TLS上的DNS。配置1.1.1.1Android Pie只支持TLS上的DNS。要在设备上启用此功能，请执行以下操作：转到"设置"→"网络和internet"→"高级"→"专用DNS"。选择专用DNS提供程序主机名选项。输入1dot1dot1dot1.cloudflare-dns.com网站然后点击"保存"。访问1.1.1.1/help（或1.0.0.1/help）以验证"在TLS（DoT）上使用DNS"是否显示为"Yes"。你完了！为什么使用私人域名系统？那么，基于HTTPS的DNS和基于TLS的DNS如何适应当前互联网隐私的现状呢？TLS是一种协议，它通过一个不受信任的通信通道加密你的流量，就像在咖啡馆的无线网络上浏览你的电子邮件一样。即使使用TLS，也无法知道您与DNS服务器的连接是否被第三方劫持或窥探。这一点意义重大，因为坏人可以在公共场所配置一个开放的WiFi热点，用伪造的记录响应DNS查询，从而劫持与普通电子邮件提供商和在线银行的连接。DNSSEC通过对响应进行签名来解决保证真实性的问题，使篡改可检测，但使消息的主体可以被线路上的任何人读取。HTTPS/TLS上的DNS解决了这个问题。这些新协议确保你的设备和解析器之间的通信是加密的，就像我们期望的HTTPS通信一样。然而，在这一系列事件中还有最后一个不安全的步骤：在您的设备和服务器上的特定主机名之间的初始TLS协商过程中，SNI（服务器名称指示）的泄露。请求的主机名未加密，因此第三方仍然可以查看您访问的网站。完全保护您的浏览活动的最后一步包括加密SNI，这是Cloudflare联合其他组织定义和推广的一个正在进行的标准。IPv6世界中的DNS您可能已经注意到，私有DNS字段不接受像1.1.1.1这样的IP地址，而是需要1dot1dot1dot1.cloudflare这样的主机名-dns.com网站. 这并没有真正实现，所以我们正在为解析器部署一个更容易记住的地址，并将继续支持1.1.1.1、1.0.0.1和1dot1dot1dot1.cloudflare-dns.com网站.Google需要这个字段的主机名，因为移动运营商正在适应IPv4和IPv6共存的双栈世界。公司采用IPv6的速度比一般预期要快得多，美国所有主要的移动运营商都支持它，包括已经完全采用IPv6的T-mobile。在一个互联网连接设备约260亿个远远超过43亿个IPv4地址的世界里，这是一个好消息。苹果公司要求所有新的iOS应用程序必须支持单栈IPv6网络，这是一个前瞻性的举措。然而，我们仍然生活在一个IPv4地址的世界里，因此手机制造商和运营商必须在设计系统时考虑向后兼容性。目前，iOS和Android同时请求A和AAAA的DNS记录，它们分别包含与版本4和版本6格式的域对应的IP地址。你自己试试吧：$dig A+短1dot1dot1dot1.cloudflare-dns.com网站1.0.0.1条1.1.1.1$dig AAAA+短1dot1dot1dot1.cloudflare-dns.com网站2606:4700:4700:：10012606:4700:4700:：1111要通过纯IPv6网络与只有IPv4地址的设备通信，DNS解析程序必须使用DNS64将IPv4地址转换为IPv6地址。然后，对这些转换后的IP地址的请求通过网络运营商提供的NAT64翻译服务。这对设备和web服务器是完全透明的。从APNIC了解更多有关此过程的信息。