DoT：DNS over TLS 解析器如何解析其自己的主机名

Question 1

有几种方法：

客户端可以使用常规纯文本 DNS 作为引导机制。一旦知道 DoH/DoT 解析器的 IP 地址，它就会切换到 TLS 模式。这适用于任何提供商。
有些服务器实际上具有对其 IP 地址有效的证书，因此您无需输入主机名 - 您可以像过去一样输入 IP 地址。例如，Google8.8.8.8和 Cloudflare1.1.1.1都会直接接受 DoH 和 DoT 的 TLS 连接。这种情况相对罕见。
有些客户端会要求您输入 IP 地址和单独指定证书名称。例如，在以 Unbound 为 DoT 客户端的 Linux 上，您可以指定“使用 8.8.8.8 作为解析器，但期望使用‘dns.google’作为其证书”。（是的，Google 确实对 DoH/DoT 使用与常规 DNS 相同的 8.8.8.8 IP 地址。）

Answer

有几种方法：

客户端可以使用常规纯文本 DNS 作为引导机制。一旦知道 DoH/DoT 解析器的 IP 地址，它就会切换到 TLS 模式。这适用于任何提供商。
有些服务器实际上具有对其 IP 地址有效的证书，因此您无需输入主机名 - 您可以像过去一样输入 IP 地址。例如，Google8.8.8.8和 Cloudflare1.1.1.1都会直接接受 DoH 和 DoT 的 TLS 连接。这种情况相对罕见。
有些客户端会要求您输入 IP 地址和单独指定证书名称。例如，在以 Unbound 为 DoT 客户端的 Linux 上，您可以指定“使用 8.8.8.8 作为解析器，但期望使用‘dns.google’作为其证书”。（是的，Google 确实对 DoH/DoT 使用与常规 DNS 相同的 8.8.8.8 IP 地址。）

Question 2

大多数 DNS 服务器都配置为将自己作为解析器（主解析器或辅解析器）。此操作在设置服务器时手动完成。

在某些体系结构下，DNS 服务器应仅将自身配置为辅助解析器。例如，如果 DNS 服务器也是域控制器，并且它仅指向自身进行名称解析，则它可能会成为一个孤岛，无法与其他域控制器进行复制（关联）。

各种来源都建议（或强制）这样做。快速搜索发现：

Answer

大多数 DNS 服务器都配置为将自己作为解析器（主解析器或辅解析器）。此操作在设置服务器时手动完成。

在某些体系结构下，DNS 服务器应仅将自身配置为辅助解析器。例如，如果 DNS 服务器也是域控制器，并且它仅指向自身进行名称解析，则它可能会成为一个孤岛，无法与其他域控制器进行复制（关联）。

各种来源都建议（或强制）这样做。快速搜索发现：

相关内容