Categories
程式開發

超越DoH(DNS over HTTPS):看DNS隐私不可信任的问题


在DNS协议下,计算机通过向域名服务器发送UDP消息,请求域名相关联的IP地址。而具体响应请求的DNS服务器,通常基于本地网络的推荐确定。计算机一旦连接到网络,一般情况下会使用网络管理员建议的DNS服务器。

DNS历史悠久,但一直未对DNS查询提供任何防护, 难以防范中间人攻击、追踪和篡改等安全隐患 。当前,人们已经意识到这个问题,并给出了多种推荐的解决方案。

DNS over TLS

显而易见,解决DNS查询未加密的问题,首先考虑对查询本身做加密处理。DNS查询可以 通过TLS而非UDP发送,并不会影响到其它操作。我们可以使用网络推荐的域名服务器,并尽可能通过TLS进行通信,其它操作则如常进行。

这一机制提供了一定程度上的安全和隐私性改进。处于用户计算机和DNS服务器之间的计算机,无法干扰、记录和篡改用户的DNS通信流。

DNS over HTTPS

类似于DNS over TLS等机制, DNS over HTTPS协议试图解决同样的安全和隐私问题。该机制并不考虑在原始TLS中包装DNS查询,而是包装在HTTPS中。而HTTPS协议本身是运行于TLS之上的。

该机制的合理性在于,用户无需防护未知中间者,只需防护恶意的网络管理员。如果网络管理员可以选择网络中通信的DNS服务器,那么用户就会在毫不知情的情况下被路由到某个恶意服务器。实话讲,根本无法相信咖啡店的 Wi-Fi会有什么安全的 DNS服务器。如果要加密的服务器并不符合你的利益,那么加密本身也起不了什么作用。

原文链接:【https://www.infoq.cn/article/wv0hF0ODjyAiezGa0ruL】。未经作者许可,禁止转载。