DNS over HTTPS

✍ dations ◷ 2024-12-23 15:01:52 #域名,互联网域名,密码学

DNS over HTTPS(缩写:DoH)是一个进行安全化的域名解析方案。其意义在于以加密的HTTPS协议进行DNS解析请求,避免原始DNS协议中用户的DNS解析请求被窃听或者修改的问题(例如中间人攻击)来达到保护用户隐私的目的。Google及Mozilla基金会正在测试此协议,提高网络安全性。

目前,该方案由IETF支持,其规范文档以 RFC 8484 的名义发布。2018年9月5日发布的Firefox 62正式版加入了这项功能,但需要用户手动开启。

DNS over HTTPS利用HTTP协议的GET命令发出经由JSON等编码的DNS解析请求。较于传统的DNS协议,此处的HTTP协议通信处于具有加密作用的SSL/TLS协议(两者统称作HTTPS)的保护之下。但是,由于其基于HTTPS,而HTTPS本身需要经由多次数据来回传递才能完成协议初始化,其域名解析耗时较原DNS协议会显著增加。

基于HTTPS的DNS是尚在提议阶段的标准,由IETF以RFC 8484(2018年10月)发布。它使用HTTP / 2和HTTPS,并支持有线格式DNS响应数据,如现有UDP响应中所返回的,在具有MIME类型application / dns-message的HTTPS有效负载中。如果使用HTTP / 2,服务器也可以使用HTTP / 2服务器推送来发送它预期客户端可能提前发现有用的值。

传统的DNS协议形成于互联网早期,直接基于UDP或TCP协议,且彼时未虑及现代安全性的需要,未利用密码学等手段进行加密或验证。因而,其无法抵御现代互联网常见的DNS投毒污染等攻击手段或监听。虽然后来的DNSSEC方案通过电子签名进行验证,强化了DNS的安全性,并能够抵御DNS投毒污染等篡改通信的手段,但其对于中间网络设备进行的监听仍然没有抵御能力(随后,监听者可以通过获取的通信数据知晓用户访问了哪一域名,而域名往往与具体的网站相关系)。此外,DNSSEC的起效要求现有的大量DNS解析服务的提供商(常为互联网服务提供商或第三方大型互联网机构)对已有的DNS服务器进行大范围修改等问题,其推进进程并不理想。而对于DNS over HTTPS,在正确部署服务端并妥善配置客户端的前提下,互联网服务提供商或其它中间网络设备无法解密(亦即无法获知请求的实际内容)或者篡改已经加密的HTTPS通信,故其能够有效保护互联网用户的安全及隐私;另一方面,其基于已经成熟并已广泛部署的HTTPS协议,客户端进行利用较为方便。

DNS over https用于DNS解析器的递归DNS解析。 解析器(DoH客户端)必须能够访问托管查询端点的DoH服务器。基于HTTPS的DNS缺乏操作系统的本机支持。 因此,希望使用它的用户必须安装附加软件。 三种使用场景很常见:

1.在应用程序中使用DoH实现:某些浏览器具有内置的DoH实现,因此可以绕过操作系统的DNS功能来执行查询。 缺点是应用程序可能无法通过错误配置或缺乏对DoH的支持来通知用户是否跳过DoH查询。

2.在本地网络中的名称服务器上安装DoH代理:在此方案中,客户端系统继续使用传统(端口53或853)DNS来查询本地网络中的名称服务器,然后通过到达来通过DoH收集必要的回复 互联网中的DoH服务器。 此方法对最终用户是透明的。

3.在本地系统上安装DoH代理:在此方案中,操作系统配置为查询本地运行的DoH代理。 与前面提到的方法相反,需要在希望使用DoH的每个系统上安装代理,这可能需要在更大的环境中付出很多努力。

4.为操作系统安装DoH解析插件

在所有这些方案中,DoH客户端不直接查询任何权威名称服务器。 相反,客户端依赖于使用传统(端口53或853)查询的DoH服务器来最终到达权威服务器。 因此,DoH不具备端到端加密协议的资格,只有逐跳加密且仅在始终使用DNS over TLS时才有资格。

DNS over HTTPS 功能已由部分公共DNS支持。列表如下:

https://1.1.1.1/dns-query
https://1.0.0.1/dns-query
https:///dns-query
https:///dns-query
https:///dns-query
https:///dns-query
https://security.cloudflare-dns.com/dns-query
https://family.cloudflare-dns.com/dns-query

https://dns.google/resolve
https:///dns-query
https:///dns-query

https://223.6.6.6/dns-query
https:///dns-query
https:///dns-query

https://dns9.quad9.net/dns-query
https://dns10.quad9.net/dns-query
https://dns11.quad9.net/dns-query

https://doh.familyshield.opendns.com

成人内容


设置好后,在地址栏输入 about:networking 可以看到具体通信情况



2019年11月17日,一篇在微软官方博客释出的博文宣布,Windows 将支持 DNS over HTTPS(DoH),以加密 DNS 流量保护用户隐私。

相关

  • 麻黄麻黄为汉药,或中药中所称“发散风寒药”;古时别名龙沙、卑相、大麻。包括有三种麻黄属的植物:草麻黄(Ephedra sinica)、木贼麻黄(Ephedra equisetina)与中麻黄(Ephedra intermedia),采
  • 维蒂希格奥尔格·维蒂希(德语:Georg Wittig,1897年6月16日-1987年8月26日),德国化学家,1979年因将磷化合物用于有机合成之中而与赫伯特·布朗分享诺贝尔化学奖。1897年6月16日生于德意志
  • 布地奈德/福莫特罗布地奈德/福莫特罗,商品名信必可,是一种用于控制哮喘及慢性阻塞性肺病(COPD)的复方制剂。 其成分包含糖皮质激素布地奈德和长效β2一受体激动剂福莫特罗。通常不建议该药物用于
  • 耻毛阴毛(又称耻毛、下体毛,英语:pubic hair),是生长在人类外生殖器、耻骨联合和大腿内侧上的毛发。据《金赛报告》,女性阴毛的发生最早出现在8岁,最晚18岁,极少数没有阴毛。现代生活营
  • 天王星的卫星天王星是太阳系的第7颗行星,截至2014年7月,人类一共发现27颗天王星的卫星,所有卫星均以威廉·莎士比亚或亚历山大·蒲柏著作中的角色命名。威廉·赫歇尔于1787年发现了天卫三和
  • 近独立粒子统计力学近独立粒子统计指的是统计力学中对粒子的特定描述,它的特点是不考虑粒子间的相互作用。近独立粒子三种主要模式是:这三种统计的不同之处在于:数学上使用可交换算符描述玻色子,反
  • 会宁青年站会宁青年站(韩语:회령청년역)是朝鲜民主主义人民共和国咸镜北道会宁市的一个铁路车站,属于咸北线和会宁煤矿线。咸北线会宁煤矿线
  • 乔治·威廉王子乔治·威廉王子(英语:Prince George William,1717年11月13日-1718年2月17日),出生时是当时的威尔士乔治亲王和卡罗琳王妃的第五个孩子,也是他们的第二个儿子。他在3个月零4天时夭折
  • 奇马约奇马约(Chimayó)是位于美国新墨西哥州的一个人口普查指定地区。据2010年人口普查,奇马约有人口3177人。奇马约这一名称是来自于当地的地标奇马约山。奇马约是美国天主教著名朝
  • CinemawareCinemaware是美国电子游戏开发商、发行商,于1985年成立,开发了《王冠守护者(英语:Defender of the Crown)》以及《流沙斗士(英语:It Came from the Desert)》、《铁翼雄风(英语:Wings