通过 HTTPS 进行 DNS

DNS over HTTPS (DoH) 是一种结合了域名系统 (DNS) 和安全超文本传输协议 (HTTPS) 的协议，提供一种更私密、更安全的方式将域名解析为 IP 地址。它对 HTTPS 内的 DNS 查询和响应进行加密，保护用户数据免遭窃听和操纵，并确保 ISP 和其他中介机构无法监控或篡改 DNS 流量。

DNS over HTTPS 的起源历史及其首次提及

DNS over HTTPS 最初由 Mozilla 和 Cloudflare 的工程师于 2017 年 10 月提出，旨在解决与传统 DNS 解析相关的安全和隐私问题。该协议旨在防止互联网服务提供商 (ISP)、政府或恶意行为者监视用户的 DNS 查询，这可能会泄露他们的互联网活动并可能导致隐私侵犯。

有关 HTTPS 上的 DNS 的详细信息。扩展主题 DNS over HTTPS

DNS over HTTPS 的运作方式是将 DNS 查询和响应包装在 HTTPS 数据包中，这些数据包使用传输层安全性 (TLS) 进行加密和身份验证。这种加密可确保只有目标方才能解密内容，从而保护其免遭拦截和修改。

当用户的设备想要解析域名时（例如， www.example.com）到其相应的IP地址，它向DNS服务器发送DNS查询。通过 DoH，设备不再使用传统的 UDP 或 TCP 端口进行 DNS，而是通过端口 443（HTTPS 流量的标准端口）发送 DNS 查询。然后，DNS 查询将转发到支持 DoH 的 DNS 服务器。

DNS 服务器通过 HTTPS 发回 DNS 响应来进行响应，从而完成加密循环。设备解密响应并获取访问所需网站所需的 IP 地址。

DNS over HTTPS 的内部结构。DNS over HTTPS 的工作原理

DNS over HTTPS 的内部结构可分为三个主要组成部分：

1. 客户：客户端是指发起DNS解析过程的用户设备或应用程序。当客户端想要解析域名时，它会生成 DNS 查询并通过 HTTPS 连接发送。

2. DNS-over-HTTPS 解析器：该组件通过 HTTPS 接收客户端的 DNS 查询。它充当客户端和 DNS 服务器之间的中介，处理 DNS 流量的加密和解密。解析器负责将 DNS 查询转发到 DNS 服务器并将加密的响应返回给客户端。

3. DNS服务器：DNS 服务器处理 DNS 查询并将相应的 DNS 响应返回给 DNS-over-HTTPS 解析器，DNS-over-HTTPS 解析器又对其进行加密并将其发送回客户端。

该过程可确保 DNS 查询和响应免受未经授权的访问和操纵。

DNS over HTTPS的关键特性分析

DNS over HTTPS 提供了几个增强隐私和安全性的关键功能：

1. 加密：DNS 查询和响应使用 TLS 加密，防止窃听者拦截和破译 DNS 流量。

2. 真实性：TLS 还提供身份验证，确保客户端与合法的 DNS 服务器通信，而不是试图进行中间人攻击的冒名顶替者。

3. 隐私：传统 DNS 解析以明文形式发送查询，泄露用户的浏览习惯。使用 DoH，ISP 和其他中介机构无法监控用户的 DNS 流量。

4. 安全：通过对 DNS 进行加密，DoH 可以防止 DNS 欺骗和缓存中毒攻击，从而增强 DNS 解析的整体安全性。

5. 不受限制的访问：某些网络或地区可能会对 DNS 流量施加限制，但由于 DoH 使用标准 HTTPS 端口 (443)，因此它可以绕过这些限制。

6. 提高性能：DoH 可以利用 DNS-over-HTTPS 提供商使用的优化内容交付网络 (CDN) 基础设施来潜在地提高 DNS 解析性能。

HTTPS 上的 DNS 类型

DNS over HTTPS 实现有两种主要类型：

1. 基于 HTTPS 的公共 DNS 服务：这些是由公司或组织提供的第三方 DNS-over-HTTPS 解析器。示例包括 Cloudflare、Google 和 Quad9。用户可以配置其设备或应用程序以使用这些公共 DoH 服务，确保加密的 DNS 解析。

2. HTTPS 服务器上的私有 DNS：除了使用公共 DoH 服务外，用户还可以设置自己的私有 DoH 服务器来处理自己网络的 DNS 解析。此选项提供更多控制和隐私，因为 DNS 查询不通过第三方服务器路由。

以下是一些流行的公共 DNS over HTTPS 提供商的比较表：

DNS over HTTPS 的使用方法、问题以及与使用相关的解决方案

用户可以通过配置 DNS 解析器设置在其设备或应用程序上启用 DNS over HTTPS。许多现代网络浏览器还原生支持 DoH，使用户可以轻松选择加密的 DNS 解析。

然而，采用 DNS over HTTPS 存在一些挑战：

1. 兼容性：并非所有 DNS 服务器都支持 DoH，因此使用 DNS over HTTPS 时某些域名可能无法正确解析。不过，兼容 DoH 的 DNS 服务器数量正在增加。

2. 部署：对于私人 DoH 服务器，设置和维护基础设施可能需要技术专业知识。

3. 审查和监控：DoH 在增强隐私的同时，也可以用来绕过内容过滤和审查措施，这引起了一些政府和网络管理员的担忧。

为了应对这些挑战，必须拥有各种基于 HTTPS 的公共 DNS 提供商，并促进 DNS 运营商采用 DoH。

主要特点及与同类术语的其他比较

让我们将 HTTPS 上的 DNS 与一些类似术语进行比较：

1. 基于 TLS 的 DNS (DoT)：与 DoH 类似，DNS over TLS 对 DNS 流量进行加密，但它使用 TLS，而不使用 HTTP 层。这两种协议都旨在实现加密 DNS 的相同目标，但 DoH 由于使用标准 HTTPS 端口，因此对防火墙更加友好。

2. VPN（虚拟专用网络）：VPN 还会加密互联网流量，包括 DNS 查询，但它们在不同的层上运行。VPN 会加密用户设备与 VPN 服务器之间的所有流量，而 DoH 仅加密客户端与 DNS-over-HTTPS 解析器之间的 DNS 流量。

3. DNSSEC（DNS 安全扩展）：DNSSEC 是 DNS 的一项安全功能，可提供数据完整性和身份验证。虽然 DNSSEC 和 DoH 可以一起使用来增强安全性，但它们有不同的用途。 DNSSEC 可防止 DNS 数据篡改，而 DoH 可保护 DNS 流量免遭窃听和监控。

与 HTTPS 上的 DNS 相关的未来前景和技术

近年来，基于 HTTPS 的 DNS 获得了巨大的关注，其未来看起来充满希望。随着越来越多的用户和组织优先考虑在线隐私，DoH 很可能成为现代浏览器和应用程序中的标准功能。基于 HTTPS 的公共 DNS 提供商的持续增长以及 DNS 运营商对 DoH 的采用将有助于其广泛使用。

此外，新型 DNS 技术和安全增强的开发，例如将 DoH 与 DNSSEC 相结合或实施 DNS 蒙眼等隐私保护功能，可能会进一步增强 DNS 解析的隐私和安全性。

如何使用代理服务器或如何通过 HTTPS 将代理服务器与 DNS 关联

代理服务器在基于 HTTPS 的 DNS 环境中可以发挥至关重要的作用，特别是在 DNS 解析受到限制或需要额外匿名性的情况下。以下是代理服务器通过 HTTPS 与 DNS 关联的一些方法：

1. 绕过 DNS 限制：在 HTTPS 上的 DNS 被阻止的区域或网络中，用户可以通过代理服务器路由其 DNS 查询，以访问 DoH 解析器并安全地解析域名。

2. 增强匿名性：代理服务器可以充当用户和 DoH 解析器之间的中介，通过向 DNS 解析器隐藏用户的 IP 地址来提供额外的匿名层。

3. 负载平衡和缓存：代理服务器可以帮助在多个 DoH 解析器之间分配 DNS 查询，确保更好的负载平衡，并可能通过缓存减少 DNS 解析时间。

4. 定制 DoH 实施：组织可以部署具有 DNS over HTTPS 功能的私有代理服务器，使他们能够更好地控制其 DNS 流量并维护其 DNS 隐私。

相关链接

有关 HTTPS 上的 DNS 的更多信息，您可以探索以下资源：

1. Mozilla Wiki – HTTPS 上的 DNS
2. Cloudflare – 基于 HTTPS 的 DNS
3. Google 公共 DNS – 基于 HTTPS 的 DNS
4. Quad9 – 基于 HTTPS 的 DNS
5. IETF RFC 8484 – 通过 HTTPS 进行 DNS 查询 (DoH)

总之，基于 HTTPS 的 DNS 是代理服务器领域的一项重大进步，为用户的 DNS 查询提供了增强的隐私性和安全性。通过加密 HTTPS 内的 DNS 流量，HTTPS 上的 DNS 可确保敏感信息保持机密并防止未经授权的访问。随着互联网的不断发展，基于 HTTPS 的 DNS 很可能成为保护在线通信和保护用户数据免受潜在威胁的不可或缺的一部分。