目前 DNS 的加密传输技术只用在用户到递归服务器的这一段链路上,递归服务器到权威服务器这一段还在用 DNSSEC,为啥要保留 DNSSEC 不全换成 DoH 呢? DoH 不但能保证数据完整性还多了加密不是很好吗?
1
Mitt 2020-10-29 01:41:07 +08:00 via iPhone
DoH 因为基于 https,引入了很多对 dns 来说多余的步骤,直接导致的就是 RTT 变多以及开销变大,结果就是 dns 解析的延迟高达几百毫秒,所以是不可能替代的,只能算一个备用方案
|
2
Mitt 2020-10-29 01:47:05 +08:00 via iPhone
而且对递归服务器和权威服务器来说他们不需要 dns 查询是加密的,只需要查询结果是可靠的,加密只对用户有需要
|
3
DaveySong 2020-11-30 11:21:10 +08:00
DoH 提出的场景是解隐私问题,不是解决数据一致性问题,所以 DoH 的部署场景用户终端解析器( stub resolver )到递归( recursive resolve )之间。IETF Dprive WG 有关于递归到权威的 DNS over TLS 的讨论,但没有进展,因为递归到权威已经丢失用户信息了,数据一致性问题有 DNSSEC (虽然 DNSSEC 不如 TLS 对数据保护那么强),就不用再造轮子了。
DNSSEC 只考虑递归到权威这一段有一个假设,是默认运营商(运营递归)对用户是可靠的。然而无论是用户体感,或者是最近的测量数据表示,用户到运营商递归这段链路被劫持的风险很大。所以 阿里腾讯推出的 DoH/Httpdns 都是主打防劫持功能,cover 用户到递归的访问。 |