DNS over HTTPS

DNS over HTTPS
網路傳輸協定
目的	將DNS封裝於HTTPS中以提升隱私保護與安全性
發布於	2018年10月，6年前（2018-10）
OSI層級	應用層
RFC	RFC 8484

特性

DNS over HTTPS利用HTTP協定的GET命令發出經由JSON等編碼的DNS解析請求。^[3]較於傳統的DNS協定，此處的HTTP協定通訊處於具有加密作用的SSL/TLS協定（兩者統稱作HTTPS）的保護之下。但是，由於HTTPS本身需要經由多次數據來回傳遞才能完成協定初始化，其域名解析耗時較原DNS協定會顯著增加。

DoH作為一個提議階段的標準，由IETF以RFC 8484（2018年10月）發布。其使用HTTPS，並支援「有線格式」（英語：wire format）DNS回應資料，如現有的UDP回應中所返回的資料一樣，在具有MIME類型application/dns-message的HTTPS有效負載中。^[1]^[8]^（§4.1）承載其的HTTP層可以是任何版本的HTTP協定，但HTTP/2是「推薦」的最低版本。^[8]^（§5.2）若使用HTTP/2，伺服器還可以使用HTTP/2伺服器推播來預先傳送其預計可為其客戶端所用的值。^[8]^（§5.3）

儘管IETF已將RFC 8484作為提議的標準發布，並且各大公司正在對其進行實驗，DoH還是一項進行中的工作。^[9]^[10]

傳統的DNS協定形成於網際網路早期，直接基於UDP或TCP協定，且彼時未慮及現代安全性的需要，未利用密碼學等手段進行加密或驗證。因而，其無法抵禦現代網際網路常見的DNS投毒污染等攻擊手段或監聽。雖然後來的DNSSEC方案通過電子簽名進行驗證，強化了DNS的安全性，並能夠抵禦DNS投毒污染等篡改通訊的手段，但其對於中間網路裝置進行的監聽仍然沒有抵禦能力（隨後，監聽者可以通過獲取的通訊數據知曉使用者訪問了哪一域名，而域名往往與具體的網站相關聯）。此外，DNSSEC的起效要求現有的大量DNS解析服務的提供商（常爲網際網路服務提供者或第三方大型網際網路機構）對已有的DNS伺服器進行大範圍修改等問題，其推進進程並不理想。而對於DNS over HTTPS，在正確部署伺服器端並妥善組態客戶端的前提下，網際網路服務提供者或其它中間網路裝置無法解密（亦即無法獲知請求的實際內容）或者篡改已經加密的HTTPS通訊，故其能夠有效保護網際網路使用者的安全及隱私；另一方面，其基於已經成熟並已廣泛部署的HTTPS協定，客戶端進行利用較爲方便。

Remove ads

實施方案

DNS over HTTPS用於DNS解析器的遞迴DNS解析。解析器（DoH客戶端）必須能夠訪問代管查詢端點的DoH伺服器。^[8]基於HTTPS的DNS缺乏作業系統的本機支援。因此，希望使用它的使用者必須安裝附加軟體。三種使用場景很常見：

在應用程式中使用DoH實現：某些瀏覽器具有內建的DoH實現，因此可以繞過作業系統的DNS功能來執行查詢。缺點是應用程式可能無法通過錯誤組態或缺乏對DoH的支援來通知使用者是否跳過DoH查詢。
在本地網路中的名稱伺服器上安裝DoH代理：在此方案中，客戶端系統繼續使用傳統（埠53或853）DNS來查詢本地網路中的名稱伺服器，然後通過到達來通過DoH收集必要的回覆網際網路中的DoH伺服器。此方法對終端使用者是透明的。
在本地系統上安裝DoH代理：在此方案中，作業系統組態為查詢本地執行的DoH代理。與前面提到的方法相反，需要在希望使用DoH的每個系統上安裝代理，這可能需要在更大的環境中付出很多努力。

Remove ads

支援

軟體

Edge、Firefox、Chrome瀏覽器均支援DoH。

作業系統

蘋果

2020年6月，蘋果在WWDC大會宣布iOS 14與macOS 11新增對加密DNS的支援，包括DNS over HTTPS（DoH）與DNS over TLS（DoT）。^[14]

微軟Windows

2019年11月17日，一篇在微軟官方部落格釋出的博文宣布，Windows將支援DNS over HTTPS（DoH)，以加密DNS流量保護使用者隱私。^[15]

Windows 11支援DoH。

Android

Android 11及更高版本支援DNS over HTTP/3（DoH3），擁有快速穩健的回應。^[16]

特性

實施方案

支援

公共DNS

軟體

作業系統

蘋果

微軟Windows

Android

參考資料

Wikiwand - on