Cosè 1.1.1.1? Come velocizza Internet e protegge i dati durante la navigazione?

Cos'è 1.1.1.1?

1.1.1.1 è un servizio DNS ad alta velocità e ben protetto di Cloudflare, un famoso fornitore di servizi di proxy inverso. Il servizio DNS di Cloudflare aiuterà gli utenti a ridurre al minimo il monitoraggio della cronologia di navigazione aumentando al tempo stesso la velocità di accesso a Internet . Secondo Cloudflare, il servizio DNS ha un tempo di risposta di soli 14 ms, molto più veloce di OpenDNS (20 ms) e Google DNS (34 ms).

Gli indirizzi IPv4 di Cloudflare forniti da APNIC sono facili da ricordare: 1.1.1.1 e 1.0.0.1.

Inoltre, gli utenti possono stare tranquilli quando utilizzano il servizio DNS di Cloudflare perché eliminerà tutti i record registrati entro 24 ore, quindi i dati non verranno divulgati o utilizzati.

Il ruolo del risolutore nel DNS

Quando si risolve un nome di dominio, una query viaggia dal sistema back-end (ovvero un browser web) a un servizio DNS ricorsivo . Se il record DNS non è nella cache locale del servizio, interroga in modo ricorsivo la gerarchia DNS attendibile per trovare le informazioni sull'indirizzo IP che stai cercando. La ricorsione fa parte di ciò che fa DNS 1.1.1.1, quindi deve essere veloce e sicuro.

Obiettivo del 1.1.1.1

L'obiettivo di Cloudflare è quello di gestire il risolutore pubblico più veloce al mondo, alzando al contempo il livello di protezione della privacy degli utenti. Per velocizzare Internet, l'azienda ha costruito data center a livello globale per ridurre la distanza (ovvero la latenza) tra gli utenti e i contenuti.

Solo nel mese di marzo, Cloudflare ha attivato 31 nuovi data center in tutto il mondo (Istanbul, Reykjavik, Riyadh, Macao, Baghdad, Houston, Indianapolis, Montgomery, Pittsburgh, Sacramento, Città del Messico, Tel Aviv, Durban, Port Louis, Cebu City, Edimburgo, Riga, Tallinn, Vilnius, Calgary, Saskatoon, Winnipeg, Jacksonville, Memphis, Tallahassee, Bogotá, Città di Lussemburgo, Chișinău) e come ogni altra città di questa rete, i nuovi siti eseguono DNS Resolver, 1.1 .1.1 il primo giorno.

Questa rete veloce e ampiamente distribuita è progettata per servire qualsiasi protocollo e Cloudflare è attualmente il provider DNS più veloce e affidabile su Internet. Inoltre, l'azienda fornisce anche il servizio Anycast per due dei trenta nameserver root (servizio di risoluzione dei nomi di dominio root) e fornisce servizi DNS ricorsivi per gli utenti. La ricorsione può sfruttare i server autorevoli co-localizzati per velocizzare la ricerca di tutti i nomi di dominio.

Sebbene DNSSEC garantisca l’integrità dei dati tra il risolutore e il server attendibile, non protegge la privacy dell’“ultimo miglio” degli utenti. Tuttavia, DNS Resolver 1.1.1.1 supporta i nuovi standard di sicurezza DNS: DNS-over-TLS e DNS-over-HTTPS, fornendo la crittografia dell'ultimo miglio per mantenere private e riservate le query DNS degli utenti.

Il risolutore protegge la privacy

In precedenza, veniva inviato ricorsivamente il nome di dominio completo a qualsiasi intermediario per trovare la strada verso il root o i DNS affidabili. Ciò significa che se visiti il ​​sito web quantrimang.com, il root server e il server .com verranno interrogati con il nome di dominio completo (ovvero quantrimang e la parte com), anche se il root server reindirizza semplicemente il nome di dominio convertito in .com ( indipendente dal dominio completo). Il facile accesso a tutte queste informazioni di navigazione personali tramite DNS è una preoccupazione per molte persone. Questo problema viene risolto da alcuni pacchetti software di risoluzione, anche se non tutti conoscono queste soluzioni.

Il servizio DNS Resolver, 1.1.1.1, fornisce tutti i meccanismi di protezione della privacy DNS identificati e consigliati per l'uso tra il risolutore di stub e il risolutore ricorsivo. Il risolutore di stub è un componente del sistema operativo che "parla" con i risolutori ricorsivi. Utilizzando solo il DNS di minimizzazione dei nomi delle query definito in RFC7816, il risolutore DNS 1.1.1.1 riduce la probabilità di perdita di informazioni verso server DNS intermedi, come root e TLD. Ciò significa che il risolutore DNS 1.1.1.1 invia solo nomi sufficienti in modo che il risolutore sappia cosa chiedere dopo.

Il risolutore DNS, 1.1.1.1 supporta anche query TLS private sulla porta 853 (DNS su TLS), quindi può mantenere le query nascoste dalle perdite di rete. Inoltre, fornendo un protocollo DoH sperimentale (DNS su HTTPS), il servizio ha migliorato sia la privacy che la velocità futura per gli utenti, poiché i browser e altre applicazioni possono connettersi tra loro. Consolida il traffico DNS e HTTPS in un'unica connessione.

Con il crescente utilizzo della cache negativa (la cache negativa è una cache che memorizza risposte "negative", ovvero errori) nel DNS, come descritto in RFC8198, Cloudflare può continuare a ridurre il carico sul sistema DNS globale. Questa tecnica utilizza innanzitutto una cache negativa affinché i risolutori esistenti conservino informazioni negative (o inesistenti) per un periodo di tempo. Per le zone firmate DNSSE e dai record NSEC in memoria, il risolutore può scoprire che il nome richiesto non esiste senza eseguire alcuna query aggiuntiva. Pertanto, se si digita wwwwww punto e si scrive qualcosa, quindi wwww punto e si scrive qualcosa, alla seconda query viene data risposta "no" molto rapidamente (NXDOMAIN nel mondo DNS). La cache negativa funziona solo con le zone firmate DNSSEC, inclusa root e 1400 dei 1544 TLD firmati ieri.

L'azienda utilizza l'autenticazione DNSSEC perché questa permette di garantire che le risposte siano corrette, con costi di verifica della firma bassi ed economici. Cloudflare vuole sempre che gli utenti si fidino delle risposte che ricevono ed esegue tutti i controlli possibili per evitare risposte negative per i clienti.

Tuttavia, errori nella configurazione DNSSEC causati dagli operatori DNS possono causare un'errata configurazione dei domini. Per risolvere questo problema, Cloudflare configurerà i " Negative Trust Anchors " sui domini con errori DNSSEC identificati e corretti e li rimuoverà quando gli operatori correggeranno la configurazione. Ciò limita l'impatto dei domini DNSSEC non riusciti disabilitando temporaneamente la convalida DNSSEC per uno specifico dominio configurato in modo errato, ripristinando l'accesso ai clienti finali.

Come è nato il servizio DNS Resolver 1.1.1.1?

Inizialmente, Cloudflare pensava di costruire un proprio risolutore, ma questa idea è stata successivamente rifiutata a causa della complessità e delle considerazioni legate alla strategia go-to-market (GTM): offrire valore unico ai clienti e ottenere un vantaggio competitivo. Dopo aver esaminato tutti i risolutori open source sul mercato, da questo lungo elenco, hanno ristretto la scelta a due o tre opzioni che si adattano alla maggior parte degli obiettivi del progetto. Alla fine, l'azienda ha deciso di costruire il sistema sul Knot Resolver di CZ NIC, rilasciato due anni e mezzo fa. Con la scelta di Knot Resolver aumenta anche la diversità del software. Il punto forte è che ha più funzionalità principali di quelle che Cloudflare voleva. Con un'architettura modulare simile a OpenResty, viene utilizzato e sviluppato Knot Resolver.

Cose interessanti che rendono diverso il risolutore di Cloudflare

Le funzionalità avanzate del servizio DNS Resolver 1.1.1.1 sono:

• Minimizzazione delle query RFC7816
• DNS su TLS (Transport Layer Security) RFC7858
• Protocollo DoH DNS-over-HTTPS
• Risposte “negative” RFC8198

Tieni presente che lo sviluppatore principale di Knot Resolver Marek Vavruša fa parte del team DNS di Cloudflare da oltre due anni.

Come rendere il risolutore più veloce

Ci sono molti fattori che influenzano la velocità del risolutore. Innanzitutto è: può rispondere dalla cache? Dove è possibile, il tempo di risposta è proprio il tempo di "andata e ritorno" di un pacchetto dal client al risolutore.

Quando il risolutore ha bisogno di una risposta da un'autorità, le cose diventano un po' più complicate perché il risolutore deve tenere traccia della gerarchia DNS per risolvere i nomi di dominio, il che significa che deve parlare con più server affidabili a partire dal nome di dominio. il server di origine. Ad esempio, un risolutore a Buenos Aires, in Argentina, impiegherà più tempo per monitorare la gerarchia DNS rispetto a un risolutore a Francoforte, in Germania, perché è vicino a server affidabili. Per risolvere questo problema, dobbiamo prepopolare la cache, fuori banda per i nomi comuni, il che significa che quando arriva una query effettiva, le risposte possono essere recuperate dalla cache molto più velocemente.

Un problema con le reti scalabili è che il tasso di riscontro della cache è inversamente proporzionale al numero di nodi configurati in ciascun data center. Se c'è un solo nodo nel data center più vicino, puoi essere sicuro che quando chiedi la stessa query due volte, otterrai una risposta memorizzata nella cache la seconda volta. Tuttavia, poiché in ogni data center sono presenti centinaia di nodi, gli utenti potrebbero ricevere risposte non risolte, introducendo latenza per ogni richiesta. Una soluzione comune è posizionare un bilanciatore del carico della cache davanti a tutti i risolutori, ma questo diventa un singolo punto di guasto per l'intero sistema e Cloudflare. Invece di fare affidamento su una cache centralizzata, il risolutore DNS 1.1.1.1 utilizza una cache distribuita avanzata.

Politica sui dati

Cloudflare afferma di non memorizzare mai gli indirizzi IP dei clienti e di utilizzare solo nomi di query per migliorare le prestazioni del risolutore DNS (come riempire le cache in base ai domini popolari in una regione e/o dopo la sfocatura).

Cloudflare non memorizzerà mai nei log alcuna informazione che identifichi l'utente finale e tutti questi record raccolti verranno eliminati entro 24 ore. La società ha affermato che continuerà a seguire la propria politica sulla privacy e a garantire che nessun dato degli utenti venga venduto agli inserzionisti o utilizzato per rivolgersi ai consumatori.

Come impostare il risolutore DNS 1.1.1.1

Quantrimang.com ha istruzioni abbastanza specifiche su come impostare questo DNS su PC e mobile, se sei interessato puoi seguirle.

• Cambia DNS in 1.1.1.1 sul tuo computer per sicurezza e navigazione web più veloce
• Come cambiare rapidamente il DNS in 1.1.1.1 su Android e iPhone

Alcune cose sull'indirizzo del risolutore DNS

Cloudflare ha lavorato con APNIC e ha utilizzato gli indirizzi IPv4 1.0.0.1 e 1.1.1.1 (tutti hanno concordato che questi indirizzi fossero facili da ricordare). Senza anni di ricerca e test, questi siti non sarebbero entrati in produzione.

Per IPv6 l'azienda ha scelto 2606:4700:4700::1111 e 2606:4700:4700::1001 per questo servizio. Come sai non è facile ottenere un indirizzo IPv6, tuttavia hanno scelto un indirizzo che utilizza solo numeri.

Ma perché utilizzare un indirizzo facile da ricordare? Cosa c'è di speciale in questo risolutore pubblico? La prima cosa da fare in questo processo è dove inserire questi numeri. Hanno bisogno di un numero che può essere inserito in qualsiasi computer o collegato al dispositivo che l'utente utilizza per trovare il servizio di risoluzione.

Chiunque su Internet può utilizzare questo risolutore pubblico e puoi vedere come funziona andando su https://1.1.1.1/ e facendo clic su INIZIA .

Perché annunciare il rilascio del risolutore DNS ad aprile?

Per la maggior parte delle persone nel mondo, domenica è il 1 aprile 2018 (negli Stati Uniti, il modo in cui è scritta la data sarà il mese prima del giorno successivo al 4 gennaio 2018). Vedi 4 e 1? Ecco perché Cloudflare ha annunciato oggi, quattro numeri uno (1.1.1.1).