Categories
  • 域名
  • 网际协议
  • 应用层协议
  • Web安全漏洞
    •   Encyclosphere.org ENCYCLOREADER
      supported by EncyclosphereKSF

    DNS over HTTPS

    From Wikipedia_zh - Reading time: 5 min
    DNS over HTTPS
    网络传输协议
    目的将DNS封装于HTTPS中以提升隐私保护与安全性
    发布于2018年10月,​6年前​(2018-10
    OSI层级应用层
    RFCRFC 8484
    互联网安全协议
    密钥管理
    • Kerberos
    • X.509(PKIX)
    • 资源公钥基础设施(RPKI)
    • XKMS英语XKMS
    • 信任网络(WoT)
    应用层
    • S/MIME
    • PGP
    • Sender ID
    • DKIM
    • SPF
    • PEM英语Privacy-enhanced Electronic Mail
    • MOSS英语MIME Object Security Services
    • TLS/SSL
    • PCT英语Private Communications Technology
    域名系统
    • DANE英语DNS-based Authentication of Named Entities
    • DNSSEC
    • DNS over HTTPS
    • DNS over TLS
    • DNS over QUIC
    • DNSCrypt
    • CAA
    网络层
    • IPsec(IKE)
    • L2TP
    • OpenVPN
    • PPTP
    • WireGuard

    DNS over HTTPS(缩写:DoH)是一种经由HTTPS协议进行的远程域名系统(DNS)解析协议。该方法旨在防止网络中间人[1]对DNS数据进行的窃听和操纵,利用HTTPS协议加密DoH客户端和DoH服务器(递归解析器)之间的数据,以提高用户的隐私和安全性。DNS的查询和响应会隐于其他HTTPS流量中。[2]

    在2018年3月,Google和Mozilla基金會就开始测试基于HTTPS的DNS版本。[3][4]2018年9月5日,Mozilla基金会发布的Firefox 62正式版加入了这项功能,但需要用户手动开启。[5]2020年2月,Firefox为美国用户默认切换到DNS over HTTPS。[6]2020年5月,Chrome的默认解析切至DNS over HTTPS。[7]

    特性

    [编辑]

    DNS over HTTPS利用HTTP協議的GET命令发出經由JSON等編碼的DNS解析請求。[3]較於傳統的DNS協議,此處的HTTP協議通訊處於具有加密作用的SSL/TLS協議(兩者統稱作HTTPS)的保護之下。但是,由於HTTPS本身需要經由多次數據來回傳遞才能完成協議初始化,其域名解析耗時較原DNS協議會顯著增加。

    DoH作为一个提议阶段的标准,由IETF以RFC 8484(2018年10月)发布。其使用HTTPS,并支持“有线格式”(英語:wire format)DNS响应数据,如现有的UDP响应中所返回的数据一样,在具有MIME类型application/dns-message的HTTPS有效负载中。[1][8](§4.1)承载其的HTTP层可以是任何版本的HTTP协议,但HTTP/2是“推荐”的最低版本。[8](§5.2)若使用HTTP/2,服务器还可以使用HTTP/2服务器推送来预先发送其预计可为其客户端所用的值。[8](§5.3)

    尽管IETF已将RFC 8484作为提议的标准发布,并且各大公司正在对其进行实验,DoH还是一项进行中的工作。[9][10]

    傳統的DNS協議形成於互聯網早期,直接基於UDP或TCP協議,且彼時未慮及現代安全性的需要,未利用密碼學等手段進行加密或驗證。因而,其無法抵禦現代互聯網常見的DNS投毒污染等攻擊手段或監聽。雖然後來的DNSSEC方案通過電子簽名進行驗證,強化了DNS的安全性,並能夠抵禦DNS投毒污染等篡改通訊的手段,但其對於中間網絡設備進行的監聽仍然沒有抵禦能力(隨後,監聽者可以通過獲取的通訊數據知曉用戶訪問了哪一域名,而域名往往與具體的網站相關聯)。此外,DNSSEC的起效要求現有的大量DNS解析服務的提供商(常爲互聯網服務供應商或第三方大型互聯網機構)對已有的DNS服務器進行大範圍修改等問題,其推進進程並不理想。而對於DNS over HTTPS,在正確部署服務端並妥善配置客戶端的前提下,互聯網服務供應商或其它中間網路設備無法解密(亦即無法獲知請求的實際內容)或者篡改已經加密的HTTPS通訊,故其能夠有效保護互聯網使用者的安全及隱私;另一方面,其基於已經成熟並已廣泛部署的HTTPS協議,客戶端進行利用較爲方便。

    实施方案

    [编辑]

    DNS over HTTPS用于DNS解析器的递归DNS解析。解析器(DoH客户端)必须能够访问托管查询端点的DoH服务器。[8]基于HTTPS的DNS缺乏操作系统的本机支持。因此,希望使用它的用户必须安装附加软件。三种使用场景很常见:

    • 在应用程序中使用DoH实现:某些浏览器具有内置的DoH实现,因此可以绕过操作系统的DNS功能来执行查询。缺点是应用程序可能无法通过错误配置或缺乏对DoH的支持来通知用户是否跳过DoH查询。
    • 在本地网络中的名称服务器上安装DoH代理:在此方案中,客户端系统继续使用传统(端口53或853)DNS来查询本地网络中的名称服务器,然后通过到达来通过DoH收集必要的回复 互联网中的DoH服务器。 此方法对最终用户是透明的。
    • 在本地系统上安装DoH代理:在此方案中,操作系统配置为查询本地运行的DoH代理。与前面提到的方法相反,需要在希望使用DoH的每个系统上安装代理,这可能需要在更大的环境中付出很多努力。

    支持

    [编辑]

    公共DNS

    [编辑]

    DNS over HTTPS 功能已由部分公共 DNS 支持[11][12][13],包括:

    • AdGuard
    • 阿里云公共 DNS
    • Cloudflare
    • DNSPod Public DNS
    • Google Public DNS
    • OpenDNS
    • QUAD9 DNS
    • 台灣網路資訊中心(Quad 101)

    详见公共域名解析服务

    软件

    [编辑]

    Edge、Firefox、Chrome浏览器均支持DoH。

    MacOS

    [编辑]

    2020年6月,蘋果在WWDC大會宣布 iOS 14 與 macOS 11 新增對加密DNS的支援,包括 DNS over HTTPS(DoH)與 DNS over TLS(DoT)。[14]

    Microsoft Windows

    [编辑]

    2019年11月17日,一篇在微软官方博客释出的博文宣布,Windows 将支持 DNS over HTTPS(DoH),以加密 DNS 流量保护用户隐私。[15]

    Windows 11支持DoH。

    参考资料

    [编辑]
    1. ^ 1.0 1.1 Chirgwin, Richard. IETF protects privacy and helps net neutrality with DNS over HTTPS. The Register. 14 Dec 2017 [2018-03-21]. (原始内容存档于14 December 2017) (英语). 
    2. ^ DNS over HTTPS · Cloudflare 1.1.1.1 docs. Cloudflare Docs. 2024-01-17 [2024-02-21] (英语). 
    3. ^ 3.0 3.1 DNS-over-HTTPS | Public DNS | Google Developers. Google Developers. [2018-03-21]. (原始内容存档于2018-03-20) (英语).  – Google provides two endpoints: one for its 2018 JSON API, one for an RFC 8484 API.
    4. ^ Cimpanu, Catalin. Mozilla Is Testing "DNS over HTTPS" Support in Firefox. BleepingComputer. 2018-03-20 [2018-03-21]. (原始内容存档于2018-03-20) (美国英语). 
    5. ^ Improving DNS Privacy in Firefox – Firefox Nightly News. Firefox Nightly News. [2018-09-05]. (原始内容存档于2018-09-02) (美国英语). 
    6. ^ "A long-overdue technological shift toward online privacy": Firefox encrypts domain names. Google to follow.. What's New in Publishing | Digital Publishing News. 2020-02-26 [2020-02-26]. (原始内容存档于2020-02-26) (美国英语). 
    7. ^ Google Makes DNS Over HTTPS Default in Chrome. Decipher. 2020-05-20 [2024-03-29] (英语). 
    8. ^ 8.0 8.1 8.2 8.3 Hoffman, P; McManus, P. RFC 8484 - DNS Queries over HTTPS. datatracker.ietf.org. [2018-05-20]. (原始内容存档于2018-12-12) (英语). 
    9. ^ Experimenting with same-provider DNS-over-HTTPS upgrade. Chromium Blog. [2019-09-13]. (原始内容存档于2019-09-12) (英语). 
    10. ^ Deckelmann, Selena. What's next in making Encrypted DNS-over-HTTPS the Default. Future Releases. 6 September 2019 [2019-09-13]. (原始内容存档于2019-09-14) (美国英语). 
    11. ^ DNS over HTTPS Implementations. 2018-04-27 [2018-04-27]. (原始内容存档于2018-04-02) (美国英语). 
    12. ^ DNS Security and Privacy. 2018-04-27 [2018-03-27]. (原始内容存档于2020-11-09) (美国英语). 
    13. ^ AdGuard. Known DNS Providers. AdGuard. (原始内容存档于2022-03-04) (英语). 
    14. ^ 陳曉莉. iOS 14與macOS 11將新增對DoT與DoH的支援. iThome. [2021-09-16]. (原始内容存档于2021-01-18). 
    15. ^ tojens. Windows will improve user privacy with DNS over HTTPS. Microsoft Tech Community. [2019-11-22]. (原始内容存档于2021-04-29). 
    This article is licensed under CC BY-SA 3.0.
    Original source: https://zh.wikipedia.org/wiki/DNS over HTTPS
    Status: article is cached
    Encyclosphere.org EncycloReader is supported by the EncyclosphereKSF