專家說，HTTPS上的DNS導致的問題多於解決的問題

一些專家，公司和國家實體對DoH及其功能表示了令人信服的關注。

HTTPS上的DNS（DoH）協議並不是近幾個月來許多人提倡的隱私靈丹妙藥。

如果我們要聽聽網路和網路安全專家的意見，那麼該協議就毫無用處，並且會引起更多的問題，而且還無法解決，並且越來越多的人對DoH及其作為一種可行的隱私保護方法進行宣傳的批評。

TL； DR是大多數專家認為DoH不好的地方，人們應該將精力集中在實現更好的方式來加密DNS流量（例如，基於TLS的DNS）而不是DoH。

什麼是衛生部和簡短的歷史

HTTPS上的DNS協議是最新發明。它創建於幾年前，並於去年10月被提議作為網際網路標準（IETF RFC8484）。Android已支援它，並計劃於今年晚些時候在Mozilla Firefox和Google Chrome中推出。

該協議本身透過更改DNS的工作方式來工作。到目前為止，使用從網路提供商（通常是網際網路服務提供商（ISP））接收到的本地作業系統的DNS設定，以純文字形式從應用程式到DNS伺服器進行DNS查詢。

衛生部改變了這一正規化。DoH對DNS查詢進行加密，這些查詢偽裝成常規的HTTPS流量-因此是HTTP-over-HTTPS名稱。這些DoH查詢被髮送到支援DoH的特殊DNS伺服器（稱為DoH解析器），該伺服器在DoH請求中解析DNS查詢，並以加密方式答覆使用者。

由於上述所有原因，具有DoH功能的產品的公司和組織一直在宣傳DoH，以防止ISP跟蹤使用者的網路流量，並繞過壓迫性國家的審查制度。

但是許多博學的人說這是謊言。網路和網路安全領域的幾位專家公開批評了圍繞DoH的一些主張以及將DoH推向任何地方的努力。

他們說，DoH並不是某些公司為了提高其作為“隱私第一”組織的形象而一直在營銷活動中推廣的神奇的使用者隱私解決方案。

專家說，這些公司對推銷一個半生熟的協議不負責任，該協議實際上並不能保護使用者，並且會帶來比修復更嚴重的問題，特別是在企業領域。

在某些情況下，對DoH的膏霜作為主要的隱私保護解決方案的反應是徹頭徹尾的酸。評論家對協議在不同的平原上採取了刺戳，我們將嘗試在下面進行整理和分類：

DoH實際上並沒有阻止ISP使用者跟蹤

衛生部在企業領域造成嚴重破壞

衛生部削弱網路安全

衛生部幫助罪犯

不應該向異議人士推薦DoH

DoH將DNS流量集中在幾個DoH解析器上

DOH實際上並沒有阻止ISP使用者跟蹤

DoH支持者在過去一年一直在抱怨的主要觀點之一是，DoH阻止ISP跟蹤使用者的DNS請求，從而阻止他們跟蹤使用者的網路流量習慣。

是。DoH阻止ISP檢視使用者的DNS請求。

但是，DNS並不是Web瀏覽中涉及的唯一協議。ISP仍然可以跟蹤無數其他資料點，以瞭解使用者的去向。有人說DoH阻止ISP跟蹤使用者是在撒謊還是不瞭解網路流量的工作方式。

如果使用者正在訪問透過HTTP載入的網站，則使用DoH是沒有意義的，因為ISP仍然可以透過簡單地檢視純文字HTTP請求來知道使用者正在訪問哪個URL。

但是，即使使用者正在訪問HTTPS網站，也是如此。ISP會知道使用者連線到哪個站點，因為HTTPS協議不完善，並且HTTPS連線的某些部分未加密。

專家表示，DoH完全不會給ISP帶來不便，因為它們可以輕鬆檢視未加密的HTTPS部分-例如SNI欄位和OCSP連線。

DoH精確加密零資料，這些資料尚未以未加密形式存在。就目前而言，使用DoH僅會提供*其他*資料洩漏。SNI，IP地址，OCSP和其餘的HTTP連線仍然可以提供其餘的資訊。這是2019年的偽造隱私。

-Bert Hubert（@PowerDNS_Bert）2019年9月22日

此外，ISP無論如何都瞭解每個人的流量。透過設計，他們可以檢視使用者在訪問網站時正在連線的IP地址。

該IP地址無法隱藏。知道最終的IP目的地將揭示使用者正在連線哪個網站，即使有關其流量的所有資訊都已加密。今年八月釋出的研究表明，第三方可以僅透過檢視IP地址就能以95％的準確度識別使用者連線到的網站。

專家認為，DoH阻止ISP跟蹤使用者的任何說法都是虛假且具有誤導性的。DoH只是透過使ISP看不到一個媒介而給ISP帶來不便，但是它們還有很多其他媒介。

衛生部繞過企業政策

第二個主要話題是DoH對企業部門的影響，系統管理員在其中使用本地DNS伺服器和基於DNS的軟體來篩選和監視本地流量，以防止使用者訪問與工作無關的站點和惡意軟體域。

自提出以來，對於企業來說，DoH一直是噩夢。DoH基本上建立了一種機制來覆蓋集中施加的DNS設定，並允許員工使用DoH繞過任何基於DNS的流量過濾解決方案。

由於當今的DNS伺服器不支援DoH查詢，因此當前支援DoH的應用隨附了經過硬編碼的DoH伺服器列表，從而有效地將DoH與作業系統的常規DNS設定區分開來（一種大型的軟體設計，禁忌已經激怒了一些開發人員，例如OpenDNS小組）。

系統管理員需要密切注意整個作業系統的DNS設定，以防止DNS劫持攻擊。擁有數百個具有自己獨特的DoH設定的應用程式是一場噩夢，因為這幾乎使監視DNS劫持成為不可能。

此外，由於某些原因，企業內部某些域的通訊被阻止。

一旦DoH廣泛可用，它將成為所有員工最喜歡的繞過企業過濾器來訪問通常在工作場所被阻止的內容的方法。

有些人可能會使用它來訪問電影流媒體網站或成人內容，但是一旦啟用，DoH就會保持啟用狀態，並且員工也可能不小心訪問了惡意軟體和網路釣魚網站，這將我們帶到了下一個要點。

衛生部削弱網路安全

許多專家表示，該協議顛覆了數百種網路安全解決方案，一旦使用者開始在其瀏覽器中使用DoH，該協議將變得毫無用處，從而使安全工具無法看到使用者正在做什麼。

並且有許多專家對此問題提出過警告，他們的聲音被那些聲稱DoH是切成薄片以來最偉大的事情淹沒了。

“對DNS協議進行加密後，組織將無法再使用DNS查詢的資料（查詢型別，響應，原始IP等）來了解使用者是否正在嘗試訪問已知的壞域，更不用說觸發阻止或重定向了請對此採取行動。” BlueCat首席戰略官Andrew Wertkin在本週初透過電子郵件告訴ZDNet。

Rfc 8484是用於Internet安全的叢集鴨子。很抱歉下雨遊行。犯人接管了庇護。

-Paul Vixie（@paulvixie）2018年10月20日

透過HTTPS #DoH進行 DNS 絕對是一回事。我認為這將以不平凡的方式影響網路安全監視和檢測。#dailypcap

很簡單，但也有一些不錯的閱讀材料：

1）https：//t。co/RnSito66aK

2）https：//t。co/vDOWEHbBog

3）https：//t。co/hNnvLYGKdn pic。twitter。com/ AEgM5H9wui

-史蒂夫·米勒（@stvemillertime）2018年10月24日

全球最大的網路安全培訓機構之一，SANS研究所在上個月發表的一篇論文中說：“對加密DNS（特別是基於HTTPS的DNS）的無懈可擊的使用，可能會使攻擊者和內部人員繞過組織控制。”

10月4日，星期五，在荷蘭國家網路安全中心釋出的安全公告中，也發出了類似的警告。荷蘭官員警告說，使用基於DNS的安全監視解決方案的組織“隨著時間的流逝，其可見性可能會下降”，並且這些安全產品將失效。

這家荷蘭機構表示：“趨勢是顯而易見的：DNS監控將變得更加困難。”

建議是，公司需要研究阻止傳出流量的替代方法，這些解決方案不僅依賴於DNS資料。SANS研究所敦促組織不要驚慌，但這將需要花費金錢和時間來更新系統，這是許多組織不願做的事情。

而且，他們需要迅速做到這一點，因為惡意軟體作者也已經意識到DoH可以發揮多大作用。例如，在7月，有關使用DoH不受本地網路監視解決方案干擾的第一個使用DoH與命令和控制伺服器進行通訊的惡意軟體的新聞浮出水面。

但是安全研究人員和企業管理員並不傻。他們還了解保護DNS查詢免受窺探的必要性。

但是，如果由他們決定，他們會爭辯說推出DNSSEC和TLS上的DNS（DoT），該協議類似於DoH，但會完全加密DNS連線，而不是將DNS流量隱藏在HTTPS內。

DoH是企業和其他專用網路的最高旁路。但是DNS是控制平面的一部分，網路運營商必須能夠對其進行監視和過濾。使用DoT，切勿使用DoH。

-Paul Vixie（@paulvixie）2018年10月21日

DoH是一個複雜問題的不幸答案。我個人更喜歡DoT（基於TLS的DNS）。透過DoH將OS級別的功能（如名稱解析）放到應用程式中是一個壞主意。請參閱@paulvixie編寫的內容，以獲取最有根據的評論。

-理查德·貝特里奇（@taosecurity）2019年9月10日

DoT與DoH有一些相同的缺點，但是如果安全研究人員不得不在DoH和DoT之間做出選擇，那麼DoT會減少很多麻煩，因為DoT和DoT可以在現有的DNS基礎結構之上工作，而不是建立自己的DoH類有能力的解析器。

Technitium DNS伺服器的建立者Shreyas Zare表示：“所有部署DoT的主要ISP和支援DoT的主要作業系統（OS）都將大大幫助改善隱私和安全性，並保持分散化。”他總結了DoH對企業部門的影響在上個月的部落格文章中。

衛生部幫助罪犯

關於DoH的另一個主要話題是其繞過由壓迫性政府制定的基於DNS的阻止列表的能力，以及幫助使用者繞過線上審查的能力。

那不是一個錯誤的陳述。是真的。使用DoH，使用者可以繞過基於DNS的國家或ISP範圍的防火牆。

問題在於，衛生部還繞過了出於正當理由而放置的基於DNS的阻止列表，例如那些阻止訪問虐待兒童網站，恐怖主義內容以及擁有受版權保護材料的網站的訪問者。

這就是為什麼Mozilla和Google最近在英國和美國的主管部門中陷入困境的原因。

5月中旬，工黨議員MP桑頓男爵夫人在下議院的一次會議上提出了DoH協議及其瀏覽器製造商即將提供的支援，稱其對英國的線上安全構成威脅。

英國情報服務機構GCHQ 也批評了Google和Mozilla，稱新協議將阻礙警方的調查，並可能透過為不良行為者提供繞過其網際網路監視系統的方式來破壞其對惡意網站的現有政府保護。

該網路觀察基金會（IWF） ，英國監督組織與申報的使命，以儘量減少網上兒童性虐待內容的可用性，也批評了谷歌和Mozilla，聲稱瀏覽器廠商都在保護英國公眾免受虐待破壞多年的工作提供一種用於訪問非法內容的新方法。

7月，英國網際網路服務提供商（ISP）以其支援DoH的計劃提名Mozilla授予“ 2019年網際網路反派”獎，理由與IWF相似。

9月，美國眾議院司法委員會開始對Google啟用DoH的計劃進行調查，稱其對DoH的支援“可能會干擾關鍵的Internet功能，並引發資料競爭問題。”

當Google和Mozilla宣佈計劃將DoH作為反審查解決方案來支援時，每個人都希望這種壓力會來自中國，伊朗或俄羅斯等壓迫性政權。但是，撤退來自最意外的地方。

Mozilla已經在壓力下破裂了。該組織在7月告訴ZDNet，它不再計劃預設為英國使用者啟用DoH。谷歌則表示，它在Chrome中設計了DoH支援，因此責任完全落在為DNS伺服器提供替代DoH解析器的公司身上。

不應該向異議人士推薦DOH

大多數安全專家對DoH的另一個主要問題是最近的說法，即它可以幫助生活在受壓迫國家的人們。

這些說法已被廣泛嘲笑，一些安全專家稱DoH支持者不負責任，因為如果他們使用DoH給人以錯誤的安全感，就會使人們的生命處於危險之中。

這是因為DoH不能保護使用者免受跟蹤。如上文所述，DoH僅隱藏DNS通訊，但其他所有內容仍然可見。

在上個月的一篇部落格文章中，PowerDNS將推動DoH可以幫助危險國家的使用者這一想法的努力描述為“ 一項非常‘techbro’的事情 ”，這一想法來自不完全瞭解情況的人們。

PowerDNS說：“將DoH視為僅對DNS資料包進行加密的“非常部分VPN”非常有用，”

相反，諸如Zare和PowerDNS之類的專家建議，受壓國家的使用者將具有DoH功能的應用程式與Tor或VPN結合使用，而不是單獨使用DoH。告訴人們他們可以完全依靠DoH只是一種誤導。

DOH將DNS流量集中在幾個DOH解析器上

還有DoH對整個DNS生態系統（伺服器的分散網路）產生影響的問題。

對此舉最大的批評者是亞太網路資訊中心（APNIC），該組織在本週的部落格文章中批評了將DoH流量傳送給一些DoH解析器的想法，而不是使用現有的DNS伺服器生態系統。

他們認為加密DNS流量應在當前基礎結構上完成，而不是建立另一（無用的）DoH解析器層，然後將其放置在現有DNS層之上。

APNIC說：“集中式DoH目前對隱私網不利，因為當DNS移至第三方時，任何可以看到您的元資料的人仍然可以看到您的元資料。” “此外，第三方還可以透過IP地址跟蹤每臺裝置的所有DNS查詢的完整日誌。

APNIC補充說：“加密DNS很好，但是如果可以在不涉及其他方的情況下完成，那會更好。”

***

一般的想法是，HTTP-over-HTTPS並不是很多人所想的。它實際上並不能保護使用者免受網路流量的監聽，對於危險國家的持不同政見者來說，它的作用並不大。

想要隱藏其網路流量的使用者仍應將VPN和Tor視為更安全的解決方案，並在可用時將DoH作為額外的保護層。

隨著基於DNS的系統時代的終結，企業將需要投資新的監視和過濾流量的方式，並且將需要具有TLS攔截功能的混合解決方案。這樣的系統已經存在，但是價格昂貴，這也是迄今為止許多公司一直依賴基於DNS的系統的主要原因。