Cloudflare发布全球最快的DNS

宣布1.1.1.1：速度最快，隐私优先的消费者DNS服务

 

Cloudflare的使命是帮助建立更好的互联网。今天我们很高兴能够在推出1.1.1.1--互联网最快，首先保护隐私的消费者DNS服务的同时迈出这一使命的另一步。这篇文章将会谈论一下我们为什么决定做这件事的原因和很多。（如果您对我们如何构建服务的技术细节感兴趣，请查看ÓlafurGuðmundsson的随行文章。）

DNS快速入门

DNS是Internet的目录。无论何时您点击链接，发送电子邮件，打开移动应用程序，通常首要的事情之一就是设备需要查找域的地址。DNS网络有两个方面：权威性（内容方）和解析器（消费者方）。

每个域名都需要有权威的DNS提供商。Cloudflare自从我们于2010年9月推出以来，已经运行了一种非常快速和广泛使用的权威DNS服务。1.1.1.1不会（直接）更改Cloudflare的权威DNS服务的任何内容。

DNS系统的另一面是解析器。每台连接到互联网的设备都需要DNS解析器。默认情况下，这些解析器是由您连接的任何网络自动设置的。因此，对于大多数互联网用户来说，当他们连接到ISP，咖啡店wifi热点或移动网络时，网络运营商将决定使用哪种DNS解析器。

DNS的隐私问题

问题是，这些DNS服务通常很慢，而不是隐私尊重。许多互联网用户并没有意识到，即使您访问的是加密的网站 - 浏览器中只有一点点绿色锁定 - 也不会让您的DNS解析器无法知道您访问的所有网站的身份。这意味着，默认情况下，您的ISP，所连接的每个WiFi网络以及移动网络提供商都列出了您在使用时访问过的每个网站的列表。

网络运营商一直在嘲笑他们的用户浏览数据并寻找获利方式。在美国，一年前参议院投票决定取消限制互联网服务提供商销售其用户浏览数据的规定时，这一点变得更加容易。由于担心Facebook和谷歌等公司收集的数据令人担忧，我们现在担心Comcast，Time Warner和AT＆T等互联网服务提供商加入名单。而且，毫无疑问，这不是一个仅限美国的问题 - 世界各地的互联网服务供应商都会看到相同的隐私入侵机会。

DNS的审查问题

但隐私问题远不止是广告定位。Cloudflare经营伽利略计划，以免受网络攻击的全球政治或艺术重要组织的损失。通过这个项目，我们会保护针对中东的LGBTQ组织，报道非洲政治腐败的记者，亚洲的人权工作者以及涵盖克里米亚冲突地区的博客。我们对这个项目感到非常自豪，我们非常善于阻止参与者发起的网络攻击。

但令我们感到沮丧的是，我们经常关注DNS如何被用作对我们保护的许多团体进行审查的工具。尽管我们擅长停止网络攻击，但如果消费者的DNS被阻止，我们无法做出任何帮助。

例如，在2014年3月，土耳其政府在录制后显示政府腐败丑闻在网上泄露后阻止了Twitter。互联网受到该国ISP的DNS解析程序阻止对twitter.com的DNS请求的审查。人们直接在墙上喷涂了8.8.8.8（Google的DNS解析器服务的IP），以帮助其他土耳其人恢复在线。Google的DNS解析器非常棒，但多样性很好，我们认为我们可以做得更好。

构建消费者DNS服务

DNS基础设施的不安全性使Cloudflare团队成为互联网核心的一个缺陷，因此我们开始着手解决这个问题。鉴于我们运行的是全球最大，互联最全的网络之一 - 并且拥有丰富的DNS经验 - 我们已经准备好推出消费者DNS服务。我们开始测试，发现运行在我们全球网络上的解析器优于任何其他可用的消费者DNS服务（包括Google的8.8.8.8）。这是令人鼓舞的。

我们开始与浏览器制造商讨论他们希望从DNS解析器获得什么。一个字不断出现：隐私。除了不使用浏览数据来帮助定位广告外，他们还希望确保我们能够在一周内清除所有事务日志。这是一个简单的要求。事实上，我们知道我们可以走得更远。我们承诺永远不会将查询的IP地址写入磁盘并在24小时内清除所有日志。

Cloudflare的业务从未围绕追踪用户或销售广告。我们不认为个人数据是资产; 我们将其视为有毒资产。虽然我们需要一些日志记录来防止滥用和调试问题，但我们无法想象任何需要24小时以上信息的情况。我们希望把钱投到我们的口中，所以我们致力于保留备受尊敬的审计公司毕马威会计师事务所每年审计我们的代码和惯例，并发布公开报告，确认我们正在按照我们所说的做。

输入1.1.1.1

剩下的一件事就是我们需要一对值得纪念的IP。DNS系统的核心原因之一是IP不太令人难忘。172.217.10.46几乎没有Google.com那么令人难忘。但是，DNS解析器本身不能使用上口的域名，因为它们是必须被查询才能找出域名的IP地址。这是一个鸡和鸡蛋的问题。而且，如果我们希望服务在危机时刻像土耳其政变一样得到帮助，我们需要一些足够简单的记忆和喷涂在墙上。

我们联系了APNIC的团队。APNIC是一个地区互联网注册局（RIR），负责在亚太地区提供IP。它是全球管理IP分配的五个RIR之一，其他四个是：ARIN（北美），RIPE（欧洲/中东），AFRINIC（非洲）和LACNIC（南美）。

APNIC的研究小组拥有IP 1.1.1.1和1.0.0.1。虽然这些地址是有效的，但是有那么多人进入了各种随机系统，他们不断地被大量垃圾流量所淹没。APNIC希望研究这种垃圾流量，但任何时候他们都试图公布IP，洪水将淹没任何传统网络。

我们与APNIC团队讨论了我们如何创建隐私第一，速度极快的DNS系统。他们认为这是一个值得赞扬的目标。我们提供Cloudflare的网络来接收和研究垃圾流量，以换取能够在难忘的IP上提供DNS解析器的交换。而且，1.1.1.1诞生了。

严重的是，4月1日？

唯一存在的问题是何时推出这项新服务？这是Cloudflare推出的第一款消费产品，因此我们希望能够吸引更多的观众。与此同时，我们也是极客。1.1.1.1有4个1。所以看起来很清楚，4/1（4月1日）是我们需要启动它的日期。

别提那是星期天。不要介意它是在复活节和逾越节期间。没关系，这是愚人节 - 科技公司经常在他们认为可爱的虚构服务中走出一天，而媒体和其他非科技世界集体转眼。

我们向自己证明，Gmail是另一种优秀的非虚构消费者服务，也于2004年4月1日推出。当然，由于Cloudflare的公关团队在发布之前一再指出，Gmail的发布日期是一个星期四，而不是复活节。几乎所有在本周发布前我都做过的媒体吹风会都让我发誓，这不是一个玩笑。事实并非如此。我发誓。要证明这一点，最好的方法是转到1.1.1.1，按照说明进行设置，然后亲自查看。它是真实的。而且很棒。

我们为什么建造它？

为什么我们建立这项服务的答案可以追溯到我们的使命：帮助建立一个更好的互联网。人们每天都来Cloudflare工作，以使互联网更好，更安全，更可靠，更高效。这听起来很俗气，但确实如此。

在2014年，当我们决定为所有客户免费启用加密时，很多人都认为我们疯了。除了技术和财务成本外，SSL当时还是我们免费和付费服务的主要区别。然而，这是一个艰难的技术挑战，显然是为互联网做的正确的事情，所以我们做到了。而且，有一天，我们加大了加密网络的规模。我为此感到自豪，三年半之后，其他行业开始效仿。网页应该从一开始就被加密。这不是一个错误。我们正在做我们可以解决的问题。

去年，当我们在所有计划中免费和不计费地减少DDoS时，许多人再次挠头。但这是正确的做法。你不应该有一个大的银行账户来抵挡黑客和网络恶霸。随着时间的推移，我们确信DDoS缓解将成为所有平台都包含的一种商品，所以我们当然应该率先实现这一目标。

我们能够聘用如此优秀的团队的部分原因是，当他们做正确的事情时，我们会面临这样的重大挑战。在办公室周围走走，我们团队的笔记本电脑上贴着1.1.1.1标签，因为我们都为我们正在做的事情感到自豪。仅凭这一点，建筑就成了一件不容易的事。（PS - 听起来很有趣？我们正在招聘。）

迈向更好的DNS基础设施

但还有更多。DNS本身是一个35岁的协议，它显示了它的年龄。它从来没有设计过隐私或安全考虑。在我们与浏览器，操作系统，应用程序和路由器制造商的对话中，几乎所有人都感到遗憾，即使采用了隐私优先服务（如1.1.1.1），DNS本质上也是未加密的，因此它会将数据泄漏给任何监控您网络连接的人。虽然这很难监控像ISP这样的人，而不是他们自己运行DNS解析器，但它仍然不安全。

需要的是转向新的现代协议。有几种不同的方法。一种是DNS-over-TLS。这需要现有的DNS协议并添加传输层加密。另一个是DNS-over-HTTPS。它包括安全性，还包括所有现代增强功能，如支持其他传输层（例如QUIC）和服务器HTTP / 2服务器推送等新技术。DNS-over-TLS和DNS-over-HTTPS都是开放标准。而且，在发布时，我们确保1.1.1.1支持两者。

我们认为DNS-over-HTTPS特别有前途 - 快速，更易于解析和加密。迄今为止，Google是唯一支持DNS-over-HTTPS的规模提供商。但是，由于显而易见的原因，非Chrome浏览器和非Android操作系统一直不愿意构建将数据发送给竞争对手的服务。我们希望通过现在提供的独立DNS-over-HTTPS服务，我们将会看到来自浏览器，操作系统，路由器和应用程序的更多实验来支持该协议。

我们不需要成为唯一的此类服务。在DNS提供商中更多元化是一件好事™。如果随着时间的推移，一个强大的网络生态系统提供DNS-over-HTTPS支持，那么这将成为我们在推进我们的使命以帮助建立更好的互联网时感到自豪的事情之一。

将它们联系在一起

虽然DNSPerf目前居1.1.1.1查询非CloudFlare的客户时为最快的DNS解析器（平均约14毫秒全球），如果您在使用我们的权威DNS一个CloudFlare的客户还有一个额外的好处。由于解析器和递归器现在位于同一个网络上，运行在相同的硬件上，因此我们可以快速回答Cloudflare客户的疑问。我们还可以支持即时更新，而无需等待TTL过期。

换句话说，1.1.1.1的每个新用户都会使Cloudflare的权威DNS服务更好一些。反之亦然，Cloudflare的权威DNS服务的每个新用户都使1.1.1.1更好一些。因此，如果您是现有的Cloudflare客户，请鼓励用户尝试1.1.1.1，您将看到所有参与者都可以获得性能优势。

从任何设备访问https://1.1.1.1/以开始使用互联网上最快，最先保密的DNS服务。