自从 1987 年 DNS 诞生以来,它就一直处于未加密状态。您的设备与解析器之间的每个人都可以监听甚至修改您的 DNS 查询和响应。这包括您本地Wi-Fi网络中的任何人,您的互联网服务提供商(ISP)和传输提供商。这可能会披露您访问的域名从而威胁您的隐私。
基于 TLS 的 DNS 和基于 HTTPS 的 DNS 是为加密明文 DNS 流量而开发的两个标准,可以防止恶意方、广告商、ISP 和其他人解读其数据。继续上面的比喻,这些标准的目的是将邮寄的明信片放在信封内,以便任何人都可以寄送明信片,而不必担心有人窥探到明信片的内容。
基于 TLS 的 DNS 或 DoT 是加密 DNS 查询以确保其安全和私密的一项标准。DoT 使用安全协议 TLS,这与 HTTPS 网站用来加密和认证通信的协议相同。(TLS 也称为“SSL”。)DoT 在用于 DNS 查询的用户数据报协议(UDP)的基础上添加了 TLS 加密。此外,它确保 DNS 请求和响应不会被在途攻击篡改或伪造。
基于 HTTPS 的 DNS 或 DoH 是 DoT 的替代标准。使用 DoH 时,DNS 查询和响应会得到加密,但它们是通过 HTTP 或 HTTP/2 协议发送,而不是直接通过 UDP 发送。与 DoT 一样,DoH 也能确保攻击者无法伪造或篡改 DNS 流量。从网络管理员角度来看,DoH 流量表现为与其他 HTTPS 流量一样,如普通用户与网站和 Web 应用进行的交互。
这两项标准都是单独开发的,并且各有各的 RFC* 文档,但 DoT 和 DoH 之间最重要的区别是它们使用的端口。DoT 仅使用端口 853;DoH 则使用端口 443,后者也是所有其他HTTPS 流量使用的端口。
由于 DoT 具有专用端口,因此即使请求和响应本身都已加密,具有网络可见性的任何人都发现来回的 DoT 流量。DoH 则相反,DNS 查询和响应伪装在其他 HTTPS 流量中,因为它们都是从同一端口进出的。
‣