DNS 教父怒噴 DNS-over-HTTPS！

近期，互聯網工程任務組（IETF）正式採用了 DNS-over-HTTPS 標準，並重新引發了關於它是否對網路基礎設施構成威脅的爭論。

前一陣子，IETF 提議將其提升為8484級別 RFC。這個想法是為了保證 DNS 查詢的機密性和完整性，正如 Mozilla 的聯合作者 Patrick McManus 所說的那樣，這源於政府和不懷好意的人干涉或窺探 DNS 請求。

加密保證了機密性，因為 RFC 8484不是通過 UDP 發送純文本 DNS 請求，而是通過 HTTPS 發送，並由 TLS 提供安全性保護。完整性保護源於伺服器的公鑰，從而保證沒有人欺騙 DNS 伺服器。

這聽起來很不錯，但是一些程序員和 IETF 的貢獻者 Logan Velvindron 指出，並不是所有人都對 RFC 感到高興。

DNS 的架構師 Paul Vixie 認為這不是一場災難，「RFC 8484是互聯網安全集群。」他表示，DoH 與 DNS 的基本架構不兼容，因為它將控制平面（信令）消息移動到了數據平面（消息轉發），這是禁忌。他在推特上辯稱，網路管理員需要能夠查看和分析 DNS 活動，DoH 可以防止這種情況發生。「DoH是企業和其他專用網路的支路。但 DNS 是控制平面的一部分，網路運營商必須能夠監控和過濾它。盡量使用 DoT，而不是 DoH。」

DoT 是基於 TLS 的 DNS，RFC 7858，是 DoH 的一個獨立標準，致力於實現相同的完整性和隱私目標。

網路還是用戶更重要？

雖然 DoT 實現了這些目標，但它仍然受到 DoH 拒絕的干擾：DoT 有自己的853埠，因此可以被阻止，用戶的 DoT 請求（但不是該請求的內容或響應）可以從網路上看到。

另一方面，DoH 與其他 HTTPS 數據流共享443埠。

一位網路工程師在採訪中稱，DoH 刪除了一個可用於區分 DNS 與其他流量的鑒別器，這對於任何想要干擾 DNS 流量的人來說都是一個問題。

「攻擊者」不必阻止基於 TLS 的 DNS 主機，而必須阻止服務於 DoH 的整個主機——這可能意味著需要阻止 CDN、搜索引擎或者像 Cloudflare 這樣的公司。

從這個角度來看，DoH 得到了一個強有力的支持：如果作為 DoT 發送加密的 DNS 請求，那麼就可以被檢測到，但是如果使用與 HTTPS 流量相同的埠則不會。

但是，有一些合法的安全應用程序可用於檢查和干擾 DNS 操作，一個系統管理員保護企業網路免受域名攻擊僅存在將惡意軟體提供給受損端點。

爭議四起

正如 Mozilla 的 Daniel Steinberg 所寫的那樣，無論採用哪種方法，爭議存在的主要原因是 DNS 世界幾十年來一直未能採取行動保護用戶隱私。

「對我而言，DoH 部分是必要的，因為 "DNS 世界"未能向大眾提供安全和安全的名稱查找，這就是應用程序"一層一層"仍可以保護用戶的一種方式。」這與 DNS 隱私專家 Sara Dickinson（DoT 測試平台 Stubby 的作者）在7月份接受歐洲國家頂級域名註冊機構委員會採訪時所說的遙相呼應。

她說，這個行業通過緩慢的反應把 DoH 帶回了自己。「瀏覽器只是直接進入，因為如果他們已經從DNS 獲得他們需要的東西，他們可能不太願意沿著 DoH 路線走。但是，他們只是沒有得到他們需要的東西，我認為他們有點覺得他們永遠不會。「

DoT-versus-DoH 可能會被用戶或提供商選擇解決，因為兩者都在部署，正如 DNS 隱私項目所記錄的那樣。

除了協議緊張之外，Velvindron 還通過電子郵件指出，通過掃描請求，伺服器可以推斷下一個請求將會是什麼，並更快地將其提供給用戶。

原文：https://www.theregister.co.uk/2018//10/23/paulvixieslapsdohasdnsprivacyfeaturebecomesastandard/

作者：Richard Chirgwin

譯者：安翔，責編：郭芮

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！