DNS over TLS和DNS over HTTPS听起来像是同一个事物的不同说法。实际上,它们完成的确是同样的事情——加密DNS请求——但是有一个很大的区别:它们使用的端口不同。
听起来如此简单的事情却产生了完全不同的两个阵营,而且每个阵营对哪一个更好都有着根深蒂固的信念。一方的阵营社会意识更强,更加以用户为导向,他们的主要兴趣点是隐私和人权。另一方则更为务实,甚至包括一个DNS架构师,他认为,网络管理员需要能够看到并分析DNS活动。
首先我们了解下什么是DNS?它为什么需要TLS或HTTPS?
DNS指域名系统。最好也是最老套的比喻,就是电话簿。大多数人上网时,他们不会输入实际的IP地址,而是输入统一资源定位器(URL)。DNS服务器会获取该URL并找到它解析到的IP地址。
例如,当你想要访问天威诚信网站时,你会输入www.itrus.cn,然后DNS服务器就会获取该URL并找到与之关联的IP地址,在我们的示例中是123.56.97.154。但是让人们记住它是毫无意义的,因此URL是无处不在的(谷歌正试图消灭这一点)。
如果你想找到你正在访问的网站的IP地址,在Windows和Mac上是很容易操作的。Windows用户只需要在搜索栏中输入“cmd”,打开命令提示符,然后输入:
tracert anydomain.com。
对苹果用户来说,更为简单、也更为巧妙。在Mac的搜索栏中,键入“网络实用程序(Network Utility)”,然后点击打开它。然后导航到Traceroute选项卡,并在跟踪字段中输入域名。
一直以来,DNS请求都是通过UDP或TCP协议进行的——这意味着它们是以明文形式发送的。正如我们将要讨论的,这是个问题。
我们为什么需要加密DNS请求?
当你的互联网历史记录可能导致你被司法拘留,或者受到伤害时,能够混淆DNS请求可能就是生死攸关的事。这听起来可能有点夸张,但不需要大量的研究就可以知道,那些因为互联网使用情况而被贴上异见人士标签的普通人会遇到什么问题。
对于参与这场辩论的各方来说,这就是为什么这是一个人权问题的原因。
没有人认为DNS请求不该被加密,争论的焦点是如何最好地实现加密。
那么,DNS over TLS和DNS over HTTPS的区别是什么?
虽然这两种标准都对DNS请求进行了加密,但是两者之间有一些重要的区别。互联网工程任务组(IETF)将DNS over HTTPS定义为RFC 8484,将DNS over TLS定义为RFC 7858和RFC 8310。
通过TLS加密和身份验证,DNS over TLS使用TCP作为基本的连接协议。而DNS over HTTPS则使用HTTPS和HTTP/2进行连接。
这是一个重要的区别,因为它会影响使用的端口。DNS over TLS有自己的端口853。DNS over HTTPS则使用端口443,这是HTTPS流量的标准端口。
虽然拥有专用的端口听起来像是一种优势,但在某些情况下,实际上恰恰相反。DNS over HTTPS可以隐藏在其它加密流量中,但DNS over TLS请求全都来自一个唯一的端口,网络层的任何人都可以很容易地看到它们,甚至可以阻止它们。当然,无论内容还是响应,请求本身是加密的。因此,你不知道被请求的是什么,但是它们知道你在使用DNS over TLS。
有时,什么才是最好的选择,从定性的角度与从人权甚至道德的角度看是不一致的。对于许多站在DNS over TLS阵营的人来说,这与现实世界中的隐私问题无关,而是因为他们认为DNS over HTTPS是一个比DNS over TLS低级的标准。
安全建议
1、 各大企业,以及个人用户,定期检查以及及时修补系统补丁和重要软件的补丁;
2、 尽快为企业网站部署SSL证书,部署SSL证书后,可以通过验证HTTPS中的SSL证书信息,确认网站的真实身份,增强用户识别正确网站信息,避免用户点击了假冒网站而上当受骗。通过SSL加密层,也可以对传输的数据进行加密和解密,确保数据在传输过程中的安全,保障数据的机密性和完整性。
HTTPS是现行架构下最安全的解决方案,并且它最大程度的阻止中间人攻击。部署SSL证书一定要选择一个具有公信力的CA机构,最好就是想数安时代GDCA一样经过WEBTRUST国际认证的。数安时代以最安全的解决方案、专业的技术支持团队用户提供最权威的认证服务和最安全的认证保障。拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,可以为用户提供7*24一对一服务与技术支持。如有需要可到官网咨询客服。
文章翻译自:https://www.thesslstore.com/blog/dns-over-tls-vs-dns-over-https/