DNS 教父怒喷 DNS-over-HTTPS！

近期，互联网工程任务组（IETF）正式采用了 DNS-over-HTTPS 标准，并重新引发了关于它是否对网络基础设施构成威胁的争论。

前一阵子，IETF 提议将其提升为8484级别 RFC。这个想法是为了保证 DNS 查询的机密性和完整性，正如 Mozilla 的联合作者 Patrick McManus 所说的那样，这源于政府和不怀好意的人干涉或窥探 DNS 请求。

加密保证了机密性，因为 RFC 8484不是通过 UDP 发送纯文本 DNS 请求，而是通过 HTTPS 发送，并由 TLS 提供安全性保护。完整性保护源于服务器的公钥，从而保证没有人欺骗 DNS 服务器。

这听起来很不错，但是一些程序员和 IETF 的贡献者 Logan Velvindron 指出，并不是所有人都对 RFC 感到高兴。

DNS 的架构师 Paul Vixie 认为这不是一场灾难，“RFC 8484是互联网安全集群。”他表示，DoH 与 DNS 的基本架构不兼容，因为它将控制平面（信令）消息移动到了数据平面（消息转发），这是禁忌。他在推特上辩称，网络管理员需要能够查看和分析 DNS 活动，DoH 可以防止这种情况发生。“DoH是企业和其他专用网络的支路。但 DNS 是控制平面的一部分，网络运营商必须能够监控和过滤它。尽量使用 DoT，而不是 DoH。”

DoT 是基于 TLS 的 DNS，RFC 7858，是 DoH 的一个独立标准，致力于实现相同的完整性和隐私目标。

网络还是用户更重要？

虽然 DoT 实现了这些目标，但它仍然受到 DoH 拒绝的干扰：DoT 有自己的853端口，因此可以被阻止，用户的 DoT 请求（但不是该请求的内容或响应）可以从网络上看到。

另一方面，DoH 与其他 HTTPS 数据流共享443端口。

一位网络工程师在采访中称，DoH 删除了一个可用于区分 DNS 与其他流量的鉴别器，这对于任何想要干扰 DNS 流量的人来说都是一个问题。

“攻击者”不必阻止基于 TLS 的 DNS 主机，而必须阻止服务于 DoH 的整个主机——这可能意味着需要阻止 CDN、搜索引擎或者像 Cloudflare 这样的公司。

从这个角度来看，DoH 得到了一个强有力的支持：如果作为 DoT 发送加密的 DNS 请求，那么就可以被检测到，但是如果使用与 HTTPS 流量相同的端口则不会。

但是，有一些合法的安全应用程序可用于检查和干扰 DNS 操作，一个系统管理员保护企业网络免受域名攻击仅存在将恶意软件提供给受损端点。

争议四起

正如 Mozilla 的 Daniel Steinberg 所写的那样，无论采用哪种方法，争议存在的主要原因是 DNS 世界几十年来一直未能采取行动保护用户隐私。

“对我而言，DoH 部分是必要的，因为 'DNS 世界'未能向大众提供安全和安全的名称查找，这就是应用程序'一层一层'仍可以保护用户的一种方式。”这与 DNS 隐私专家 Sara Dickinson（DoT 测试平台 Stubby 的作者）在7月份接受欧洲国家顶级域名注册机构委员会采访时所说的遥相呼应。

她说，这个行业通过缓慢的反应把 DoH 带回了自己。“浏览器只是直接进入，因为如果他们已经从DNS 获得他们需要的东西，他们可能不太愿意沿着 DoH 路线走。但是，他们只是没有得到他们需要的东西，我认为他们有点觉得他们永远不会。“

DoT-versus-DoH 可能会被用户或提供商选择解决，因为两者都在部署，正如 DNS 隐私项目所记录的那样。

除了协议紧张之外，Velvindron 还通过电子邮件指出，通过扫描请求，服务器可以推断下一个请求将会是什么，并更快地将其提供给用户。

原文：https://www.theregister.co.uk/2018//10/23/paulvixieslapsdohasdnsprivacyfeaturebecomesastandard/

作者：Richard Chirgwin

译者：安翔，责编：郭芮