Loading AI tools
来自维基百科,自由的百科全书
DNS over HTTPS(縮寫:DoH)是域名系統的安全協定,以HTTPS協定完成DNS解析來保護網絡主機的私隱,能避免傳統DNS協定中用戶的DNS解析請求被竊聽或者修改(例如中間人攻擊)的情況。[1]
此條目翻譯質素不佳。 |
此條目可參照英語維基百科相應條目來擴充。 |
DoH由IETF支援(見 RFC 8484 (頁面存檔備份,存於互聯網檔案館))。
Google及Mozilla基金會正在測試此協定,提高網絡安全性。[2][3]2018年9月5日,Mozilla基金會發佈的Firefox 62正式版加入了這項功能,但需要用戶手動開啟。[4]
DNS over HTTPS利用HTTP協定的GET命令發出經由JSON等編碼的DNS解析請求。[2]較於傳統的DNS協定,此處的HTTP協定通訊處於具有加密作用的SSL/TLS協定(兩者統稱作HTTPS)的保護之下。但是,由於HTTPS本身需要經由多次數據來回傳遞才能完成協定初始化,其域名解析耗時較原DNS協定會顯著增加。
基於HTTPS的DNS是尚在提議階段的標準,由IETF以RFC 8484(2018年10月)發佈。它使用HTTP/2和HTTPS,並支援有線格式DNS響應數據,如現有UDP響應中所返回的,在具有MIME類型application/dns-message
的HTTPS有效負載中。[5][6]如果使用HTTP/2,伺服器也可以使用HTTP/2伺服器推播來傳送它預期客戶端可能提前發現有用的值。[7]
傳統的DNS協定形成於互聯網早期,直接基於UDP或TCP協定,且彼時未慮及現代安全性的需要,未利用密碼學等手段進行加密或驗證。因而,其無法抵禦現代互聯網常見的DNS投毒污染等攻擊手段或監聽。雖然後來的DNSSEC方案通過電子簽名進行驗證,強化了DNS的安全性,並能夠抵禦DNS投毒污染等篡改通訊的手段,但其對於中間網絡裝置進行的監聽仍然沒有抵禦能力(隨後,監聽者可以通過獲取的通訊數據知曉用戶訪問了哪一域名,而域名往往與具體的網站相關聯)。此外,DNSSEC的起效要求現有的大量DNS解析服務的提供商(常爲互聯網服務供應商或第三方大型互聯網機構)對已有的DNS伺服器進行大範圍修改等問題,其推進進程並不理想。而對於DNS over HTTPS,在正確部署伺服器端並妥善組態客戶端的前提下,互聯網服務供應商或其它中間網絡裝置無法解密(亦即無法獲知請求的實際內容)或者篡改已經加密的HTTPS通訊,故其能夠有效保護互聯網用戶的安全及私隱;另一方面,其基於已經成熟並已廣泛部署的HTTPS協定,客戶端進行利用較爲方便。
DNS over HTTPS用於DNS解析器的遞歸DNS解析。解析器(DoH客戶端)必須能夠訪問寄存查詢端點的DoH伺服器。[7]基於HTTPS的DNS缺乏作業系統的本機支援。因此,希望使用它的用戶必須安裝附加軟件。三種使用場景很常見:
在所有這些方案中,DoH客戶端不直接查詢任何權威名稱伺服器。相反,客戶端依賴於使用傳統(埠53或853)查詢的DoH伺服器來最終到達權威伺服器。因此,DoH不具備端到端加密協定的資格,只有逐跳加密且僅在始終使用DNS over TLS時才有資格。
DNS over HTTPS 功能已由部分公共 DNS 支援[8][9][10],包括:
詳見公共域名解析服務
Edge、Firefox、Chrome瀏覽器均支援DoH。
2020年6月,蘋果在WWDC大會宣佈 iOS 14 與 macOS 11 新增對加密DNS的支援,包括 DNS over HTTPS(DoH)與 DNS over TLS(DoT)。[11]
2019年11月17日,一篇在微軟官方網誌釋出的博文宣佈,Windows 將支援 DNS over HTTPS(DoH),以加密 DNS 流量保護用戶私隱。[12]
Windows 11支援DoH。
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.