OpenNIC DNS 服务器的可信度

Question

尽管 Google 的8.8.8.8DNS 服务器是您的 ISP 提供的DNS 服务器的流行替代 DNS 服务器，但对隐私的影响对我来说太麻烦了。在研究关于替代 DNS 服务器的隐私时，我发现 OpenNIC 池相当受欢迎。

但是，我不确定我对这些服务器的可信度有何看法。他们已经在 IANA 权限之外对根区实施了自己的扩展。什么会阻止他们（除了公众监督）重新定义 IANA 定义的根区部分？

我知道将 DNS 查询直接大规模转发到 DNS 根名称服务器被认为是有害的，但似乎确保正确*和私有结果的唯一方法是在本地网络上使用缓存、递归解析器。对于单个家庭网络，这不会对根服务器造成负担，但绝对不会扩展到每个家庭。

那么我应该使用 OpenNIC 还是转发到根服务器？我自己的 ISP 是不可能的，因为他们经常进行 DNS 劫持。

*没有广泛采用 DNSSEC，这将解决正确性问题，但不能解决隐私问题。

Answer 1

信任问题的核心不是技术问题，因此您永远无法完全回答诸如“我是否应该信任 X”之类的问题，特别是如果您添加“......在某个 Z 遥远的未来不做 Y 行动”。

特别是因为在您的问题中，您似乎既不确定提供商本身，又不确定提供商与您之间的路径上会发生什么。

如果您想更好地控制解析过程，除了直接在您的主机上或在您信任的其他主机上运行您自己的递归缓存名称服务器之外，您别无选择。特别是如果您想完全确定使用 DNSSEC 提供的功能：如果您使用远程验证名称服务器，您相信它会为您正确完成所有 DNSSEC 计算。

因此，我什至不会尝试评估https://en.wikipedia.org/wiki/Public_recursive_name_server上的1.1.1.1(CloudFlare) 或8.8.8.8(Google) 或9.9.9.9(IBM+PCH+GlobalCyber​​Alliance) 或 OpenNIC 或任何其他网站是否值得信赖或更值得信赖比另一个。这也是一种非常个人的意见（您信任谁），并且会随着时间的推移而变化。

您的断言“但它绝对不会扩展到每个家庭。” 不是那么清楚。人们越来越多地在内部处理他们的 DNS 解析（或转发到以前的公共解析之一），并且根服务器有足够的容量。请注意，问题实际上可能不存在，因为该区域文件移动缓慢、很小，而且缓存无处不在。在某些 TLD 名称服务器上，问题可能更多，例如.COM，其中区域文件既有数百万个条目，又有可能不小的定期更改。

桌上有多种选择，有时可以混合搭配：

1. 在您使用的名称服务器上使用QNAME 最小化（由上述某些公共服务支持）。这给每个名称服务器提供的信息更少，同时让 DNS 协议像以前一样工作
2. 您可以使用现在标准的基于TLS 的 DNS来查询任何为您提供的名称服务器（同样是一些公共服务器这样做，或计划这样做），甚至是“很快”通过 HTTPS 的 DNS。通过这样做，当然，您只是解决了问题：您可以安全地抵御路径中的劫持者，但是您需要建立您与之交换的端点的身份验证；再次，如果你自己管理它会更简单。
3. 有些人建议只使用“多个”公共 DNS 服务器，以随机方式（这样它们都不会获得您的所有流量），甚至比较结果
4. 您还有一些更微妙的工具，例如Stubby（使用 getdns API），它试图在隐私方面为您提供最佳功能，但如果您更喜欢可用性而不是安全性，也可以将其配置为回退到早期的不安全机制。像dnssec-trigger这样的软件也尝试首先通过使用您的默认名称服务器并检查它们确实正常工作并在需要时自行处理请求来为您提供 DNSSEC 好处。
5. 为了详尽无遗，我需要列出旨在防止欺骗的DNSCrypt（开放但未标准化）。但是，您需要特定的客户端和服务器才能使用此协议进行通信。

为了扩展您的知识，这个 wiki 可能是一个好的开始：https : //dnsprivacy.org/wiki/