未经授权的拦截DNS交通提供足够的信息,以确定互联网用户的想法,愿望,希望和梦想。不仅有来自附近的八卦邻居的隐私问题,但政府和企业可以利用这些信息来了解个人的上网行为,并用它来分析他们和他们的组织为政治目的或与广告定位他们。
努力像DNS隐私项目目的是提高人们对这一问题的认识,并提供参考资料以帮助减轻这些威胁。
在IETF一直对这个问题为好。它的形成DNS私人交流(DPRIVE)工作组,确定问题和评估方案,以减轻安全威胁。它的一个主要的努力是创建方法,由此DNS可以通过HTTP使用(哎)。尽管DNS查询可以通过HTTP进行,但这并不能解决未加密的隐私问题。因此,协议的开发已经开始HTTPS上的DNS查询(也称为DOH),于2018年10月标准化。
(虽然本文讨论的是基于HTTPS的DNS,但IETF发布的保护DNS流量的主要建议标准是“跨传输层的DNS安全规范”(DOT) (RFC 7858)。由于DNS流量使用UDP消息,IETF还发布了“DNS over Datagram Transport Layer Security (DTLS)”(RFC 8094)。的IETF DPRIVE工作组亦已出版“经流动电话传送的域名系统及经流动电话传送的域名系统的使用概况”(RFC 8310)。)
HTTPS上的DNS如何工作
DOH使用终端用户和web服务器接口之间的直接连接。由于DNS查询和响应是通过基于web的HTTP接口进行的,所以DNS响应格式使用JSON符号。这与传统的DNS查询和资源记录格式不同,并且有助于与基于web的应用程序进行更简单的集成。
DOH可以实现为在终端用户的计算机上运行的本地代理服务,该计算机使用TCP或UDP端口53监听DNS查询。此本地代理服务将DNS查询转换为到DOH服务的HTTPS连接。对于通过HTTPS进行DNS的情况,使用TCP端口443进行连接。(使用TLS上的DNS时,使用TCP端口853。)
卫生署也可以在用户的Web浏览器来实现。当浏览器到一个新的URL的连接,连接到一个使用TCP 853的预配置的服务DOH并检索含有得到的IP地址JSON响应。
DOH对内容提供商来说非常重要,因为他们希望帮助保护用户和订阅者的隐私。内容提供商希望对其客户的DNS有更大的控制,以确保他们的客户能够获得关于IP地址的准确信息,从而减轻负担中间的人攻击,并提供更快的服务,无论客户端操作系统或位置。
HTTP上的DNS (DOH)、HTTPS上的DNS (DOH)和TLS上的DNS (DOT)这几个术语通常可以互换使用,但是区分基于web的DNS功能的HTTP、HTTPS和TLS是很重要的。
虽然DOH可以为互联网隐私做出贡献,但认识到还有其他方法可以解决这个问题也很重要。
度选择
出于完整性的考虑,还提出了其他一些方法,如DOH,并正在使用这些方法。例如,通过HTTP的DNS也可以使用HTTP / 2。HTTP/2是HTTP的一个优化版本,允许多路数据流同时获取、请求优先级、报头压缩和服务器推送。在这种情况下,web解析器可以使用HTTP / 2服务器推送方法发送/推DNS更新客户端。这可以用于主动通知客户端发生了更新。这可能是比等待DNS记录的TTL到期历史的做法更直接的方法。
DNS也可以在QUIC协议。快速UDP因特网连接(QUIC)是一个优化的传输层协议,其提供TCP的可靠性与复用的连接和性能优化。虽然这是当前和IETF草案,人们对利用QUIC协议的方法很感兴趣,因为它对web服务器的性能有所改进。
还有其他非ietf方法用于提供DNS查询的加密。DNSCrypt是一种使用加密来保护终端用户和解析器之间的传统DNS消息的方法。DNSCrypt可以通过TCP端口443支持TCP或UDP DNS消息。当前的DNSCrypt协议规范的版本2是公开的记录。DNSCurve是一种类似的方法,但它使用椭圆曲线加密与Curve25519(X25519算法)来保护DNS。DNSCurve从2009年开始开发。
度的实现
DOH解决方案的势头正在增强,现在有一些实现示例证明这些方法是有效的。这个列表的公开可用的服务器DOH提供指向这些服务的链接DNS隐私项目