joh*_*ith 2 domain-name-system
DNS“本身”是一个不安全的系统,因为信息以纯文本、未加密的文本形式传输。众所周知,DNS 请求通过包含不同服务器的分层系统:“递归解析器”、“根域名服务器”、“TLD 域名服务器”和“权威域名服务器”。但随着 DNS-over-TLS 和 DNS-over-HTTPS 的出现,这整个结构的系统(架构本身)是否会发生重大变化?我这样说是因为我不知道 DNS 服务器此时是否可以处理加密请求。另一方面,文档rfc8484(涉及DNS-over-HTTPS)提到支持该协议的服务器被称为“DoH服务器”,但目前是否有“根服务器”,“TLD服务器”或“权威服务器”准备好处理 DNS-over-HTTPS 请求了吗?例如,我知道 CloudFlare 确实有这种类型的服务器,它们充当“递归解析器”。
DoT 和 DoH 不会从根本上改变系统*,至少不会改变这些新协议变体在其初始形式中的使用方式。
此时,它们用于在客户端和递归解析器之间建立 DNS 流量隧道,以便专门为该通信段提供隐私。除此之外,它仍然是常规的旧 DNS。
至于整体安全性,除了隐私之外,您还拥有 DNSSEC,它允许端到端数据身份验证(对于签名区域)。
因此,为了最大限度地提高安全优势,您真正需要的是同时做到以下两点:
交通部/卫生部
DNSSEC
* 嗯,DoH 确实允许一些新功能,例如推送,但这并不是您真正想要的。