DNS 本身就是一种不安全的系统,因为信息以纯文本形式传输。众所周知,DNS 请求通过分层系统,其中包括不同的服务器:“递归解析器”、“根名称服务器”、“TLD 名称服务器”和“权威名称服务器”。但随着 DNS-over-TLS 和 DNS-over-HTTPS 的出现,整个结构的系统(架构本身)是否会发生重大变化?我这样说是因为我不知道 DNS 服务器目前是否可以处理加密请求。另一方面,文档 rfc8484(涉及 DNS-over-HTTPS)提到支持此协议的服务器称为“DoH 服务器”,但目前是否有“根服务器”、“TLD 服务器”或“权威服务器”准备处理 DNS-over-HTTPS 请求?我知道 CloudFlare 确实有这种类型的服务器,它们充当“递归解析器”。
答案1
DoT 和 DoH 不会从根本上改变系统*,至少不会改变这些新协议变体在其初始形式的使用方式。
此时,它们用于在客户端和递归解析器之间传输 DNS 流量,以便为该通信过程提供隐私保护。除此之外,它仍然是常规的旧 DNS。
至于整体安全性,除了隐私之外,您还可以使用 DNSSEC,它允许端到端数据认证(针对签名区域)。
因此,为了最大限度地提高安全优势,您真正需要做的是同时做到以下两点:
交通部/卫生部
- 为双方之间的通信渠道提供隐私和身份验证。传统 DNS 架构本身无法通过中间方(递归解析服务器)实现端到端的安全性。
- 仅在客户端和递归解析器服务器之间使用(至少目前)。
DNSSEC
- 对数据(而非流量)进行签名,允许进行端到端数据认证。
- (还允许预签名的数据由不需要被信任拥有“城堡钥匙”的名称服务器提供。)
- 没有尝试提供任何隐私。
- 对数据(而非流量)进行签名,允许进行端到端数据认证。
* 嗯,DoH 确实允许一些新功能,比如推送,但这并不是您真正要求的。
答案2
Håkan Lindqvist 已经回复了核心观点,但我想解决这个缺失的部分:
支持此协议的服务器称为“DoH 服务器”,但目前是否有“根服务器”、“TLD 服务器”或“权威服务器”准备处理 DNS-over-HTTPS 请求
如果你退一步来看,DNS 作为一个系统,依靠名称服务器运行。名称服务器是运行 DNS 服务器软件的任何给定服务器。bind例如,最古老的名称服务器之一是。
为了正常工作,DNS 需要两种类型的名称服务器,两种不同的功能:权威名称服务器和递归名称服务器。
权威域名服务器是使用某些区域的特定区域文件配置的域名服务器,并会使用这些数据来回复有关这些区域的查询。DNS 是分层的,因此权威域名服务器会将其区域的一部分委托给其他域名服务器,依此类推,从经典的“根”点(实际上位于顶部)开始。
递归名称服务器是应用程序使用的服务器:无论如何,它们通过对多个权威名称服务器进行迭代查询来完成提供答案的所有艰苦工作。
这两个功能使用相同的协议 (DNS),具有相同的消息、返回代码等。 类似的软件bind可以同时提供这两种功能,甚至在同一台服务器上,但不再推荐使用。 其他较新的名称服务器软件要么是仅权威的(例如:nsd、powerdns、yadifa、KnotDNS),要么是仅递归的(例如:unbound、Knot Resolver、dnsmasq)。
根区域的权威名称服务器(包含所有 TLD 的列表)简称为根名称服务器。但它们和其他名称服务器一样都是权威名称服务器。在下面的级别上,每个 TLD 都有一组名称服务器(因为每个 TLD 可以由不同的实体管理),因此这些服务器被称为“TLD 服务器”。
直到最近,他们只知道经典的 DNS 公开端口 53,无论是 UDP 还是 TCP(两者都是规范所要求的)。如果软件允许,它们中的任何一个都可以通过 DNS over HTTPS 或 DNS over TLS 以完全相同的方式(权威或递归)工作。
目前,这些新协议适用于连接递归名称服务器。递归名称服务器和权威名称服务器之间的连接仍是一个悬而未决的问题,主要在于服务器身份验证问题(这是合理使用 TLS 的必需步骤)。
您可以找到https://doh.defaultroutes.de/implementations.htmlDOH/DOT 实现列表。有些可能只是“代理”,处理 HTTPS/TLS 传输但不执行任何实际 DNS 操作,因为这些操作只是转发到实际(通过端口 53)递归名称服务器。事实上,您会注意到,以前的标准递归名称服务器(unbound、Knot Resolver)更多地采用 DOT 而不是 DOH。
总而言之,虽然每个人都关注这一点,但其他方面确实会改变 DNS 的行为方式,例如 QNAME 最小化。