分类
计算机与互联网

DoT和DoH,将加密前置到DNS解析

DoT和DoH可以将我们的浏览器和DNS服务器的通讯加密,从而保护我们的隐私。但加密DNS也为防控与管理带来了难度。

我们知道,https可以防止运营商劫持网页,防止运营商在网页里面插入广告,防止运营商和中间人进行劫持。

使用了https之后,运营商不会看到我们在网页上的动作。但是此前在域名解析(DNS)领域,还没有https,也就是说运营商还是可以看到我们浏览了什么网址。

为了防止这种情况,许多浏览器都开启了DoH( DNS over HTTPS ,一种依赖于https的域名解析系统)。这一个协议可以让DNS查询得到保密,从而防止未经授权的各方窃听你的网络流量,从而提升用户隐私和安全性。

DoT( DNS over TLS )是基于TLS的域名解析系统,而不是基于https。

DoT和DoH可以加密浏览器和DNS服务器之间的请求。如果没有使用DoT或DoH,那么你上网的过程就是这样的:

我:浏览器,我要访问百度。

浏览器:DNS,快告诉我,百度的IP地址。

DNS:浏览器,百度的IP地址是14.215.177.38。

这个时候,浏览器和DNS服务器的交流是明文的,你的上网过程有可能被窃取。但如果你使用了DoT或DoH,那么你的上网过程就是这样的:

我:浏览器,我要访问百度。

浏览器:DNS,*****

DNS:浏览器,*****

怎么样?体会到了DoT或DoH的好处了吧?但就像磁力链接,DoT和DoH也为防控带来更大难度。

假设你要通过防火墙来对用户访问进行限制,DoT和DoH会让你看不到DNS请求,从而使你的阻止无效。

再接着,我们如何开启DoT或DoH?

华为手机需要找到“加密DNS”,小米手机需要找到“私人DNS”,不同的机型对于这个东西的描述不同,具体还需要根据机型进行搜索。

设置的时候需要提供私人运营商主机名,DoT可以选择输入dot.360.cn,DoH可以选择输入doh.pub。在公共加密DNS提供商收集里还有更多公共加密DNS提供商可以选择。

作者在搜集资料的时候,参考了:DoH and DoT: What They Mean & Should You Care?

“DoT和DoH,将加密前置到DNS解析”上的2条回复

纠正一个错误,即使同时使用 DoT/DoH 和 HTTPS,通常来说被访问的网站的域名依然是以明文形式在互联网上传输的。因为 HTTPS 使用 TLS 传输数据。目前最新的 TLS1.3 标准中,Client Hello 报文是明文的,该报文的 Server Name Indication 字段就指示了目标网站的域名。Encrypted Client Hello 仍在草案阶段,并未普及。

Client Hello报文确实是以明文方式传输的。在此时DoT和DoH就不能做到“保密”,感谢纠正!但这项技术可以保证服务器IP地址信息在DNS和浏览器的传输过程中不被篡改(完整性)。在DNS和浏览器验证完成后,DoT和DoH仍可以建立加密通信。使用DoT或DoH至今仍是一种安全有效的上网方式。
根据如何正确的使用DoH和DoT。我对传输层一无所知,还请指正。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注