未经授权的拦截DNS流量提供了足够的信息来确定互联网用户的想法、愿望、希望和梦想。这不仅是对附近爱管闲事的邻居的隐私的担忧,而且政府和公司可以利用这些信息来了解个人的互联网行为,并利用这些信息来为他们和他们的组织设定档案,以达到政治目的,或者针对他们投放广告。
努力像DNS隐私项目致力于这一问题的提高认识,资源,帮助提供指针减轻这些威胁。
IETF也一直在研究这个问题。它形成了DNS私人交易(DPRIVE)工作组,以确定问题和评估减轻安全威胁的选择。它的主要努力之一是创造各种方法DNS可用于通过HTTP(DOH)。尽管DNS查询可能发生在HTTP中明确,这不会解决未加密的隐私问题。因此,该协议的发展已经对DNS查询通过HTTPS(也被称为DOH),其在2018年十月标准化。
(虽然本文地址的DNS通过HTTPS,IETF的主要用于保护DNS流量公布的建议标准是“规范DNS传输层安全(TLS)”(DOT)(RFC 7858)。由于DNS流量使用UDP报文,IETF还出版了“在DNS数据报传输层安全(DTLS)”(RFC 8094)。该IETF DPRIVE工作组还出版了“为DNS超过TLS和DNS超过DTLS用法配置文件”(RFC 8310)。)
DNS如何通过HTTPS工作
DOH使用最终用户和Web服务器的界面之间的直接连接。由于DNS查询和响应都发生在一个基于Web的HTTP接口,DNS响应格式使用JSON对象。这比传统的DNS查询和资源记录格式不同,适合于与基于Web的应用程序集成更简单。
DOH可以实现为监听使用TCP或UDP端口53的DNS查询最终用户的计算机上运行时,此本地代理服务转换DNS查询到HTTPS连接到DOH服务的本地代理服务。在DNS的通过HTTPS的情况下,连接是使用TCP端口443由(TLS被使用,则TCP端口853采用当DNS以上。)
DOH也可以在用户的web浏览器中实现。当浏览器连接到一个新的URL时,它使用TCP 853连接到预配置的DOH服务,并检索包含结果IP地址的JSON响应。
DOH是显著感兴趣的内容供应商,因为他们想帮助维护自己的用户和用户群的隐私。内容供应商期望更大的控制权的DNS为他们的客户,保证他们的客户提供有关IP地址的准确信息,减轻中间人攻击,也不管客户端的操作系统或位置提供更快捷的服务。
通过TLS(DOT)的条款DNS通过HTTP(DOH),DNS通过HTTPS(DOH),并且DNS通常可以互换使用,但重要的是间HTTP,HTTPS进行区分,和TLS底层这基于网络的DNS功能。
虽然DOH可以促进互联网的隐私,这也是很重要的认识也有其他的方法来解决这个问题。
DOH替代品
在完整的利益,也有已经提出的其他方法,并在使用该功能类似DOH。例如,DNS通过HTTP也可以使用HTTP / 2。HTTP / 2是HTTP的优化版本,允许同时进行读取,请求优先级,报头压缩和服务器推送的复用流。在这种情况下,网络解析器可以使用HTTP / 2服务器推送方法向客户端发送/推送DNS更新。这可以用于主动通知客户端发生了更新。这可能是一种比等待DNS记录的TTL过期更直接的方法。
DNS也可以工作在QUIC协议。快速UDP Internet连接(QUIC)是一个优化的传输层协议,提供了可靠性的TCP多路连接和性能优化。虽然这是目前和IETF草案,存在的方法来利用,因为它的性能改进了Web服务器的QUIC协议的兴趣。
也有提供DNS查询的加密等非IETF方法。DNSCrypt是使用加密来保护终端用户和分解器之间的传统DNS消息的方法。DNSCrypt可以通过TCP端口443当前支持TCP或UDP消息DNS所述DNSCrypt协议规范的版本2被公开记录。DNSCurve是类似的方法,但它使用椭圆曲线加密与Curve25519(X25519算法)用于固定DNS。DNSCurve自2009年以来已经被开发出来。