HTTPS上的DNS导致的问题多于解决的问题

HTTPS上的DNS(DoH)协议并不是近几个月来许多人提倡的隐私灵丹妙药。

如果我们要听听网络和网络安全专家的意见，那么该协议就毫无用处，并且会引起更多的问题，而且还无法解决，并且越来越多的人对DoH及其作为一种可行的隐私保护方法进行宣传的批评。

TL; DR是大多数专家认为DoH不好的地方，人们应该将精力集中在实现更好的方式来加密DNS流量(例如，基于TLS的DNS)而不是DoH。

什么是卫生部和简短的历史

HTTPS上的DNS协议是最新发明。它创建于几年前，并于去年10月被提议作为互联网标准(IETF RFC8484)。Android已支持它，并计划于今年晚些时候在Mozilla Firefox和Google Chrome中推出。

该协议本身通过更改DNS的工作方式来工作。到目前为止，使用从网络提供商(通常是互联网服务提供商(ISP))接收到的本地操作系统的DNS设置，以纯文本形式从应用程序到DNS服务器进行DNS查询。

卫生部改变了这一范式。DoH对DNS查询进行加密，这些查询伪装成常规的HTTPS流量-因此是HTTP-over-HTTPS名称。这些DoH查询被发送到支持DoH的特殊DNS服务器(称为DoH解析器)，该服务器在DoH请求中解析DNS查询，并以加密方式答复用户。

由于上述所有原因，具有DoH功能的产品的公司和组织一直在宣传DoH，以防止ISP跟踪用户的网络流量，并绕过压迫性国家的审查制度。

但是许多博学的人说这是谎言。网络和网络安全领域的几位专家公开批评了围绕DoH的一些主张以及将DoH推向任何地方的努力。

他们说，DoH并不是某些公司为了提高其作为“隐私第一”组织的形象而一直在营销活动中推广的神奇的用户隐私解决方案。

专家说，这些公司对推销一个半生熟的协议不负责任，该协议实际上并不能保护用户，并且会带来比修复更严重的问题，特别是在企业领域。

在某些情况下，对DoH的膏霜作为主要的隐私保护解决方案的反应是彻头彻尾的酸。评论家对协议在不同的平原上采取了刺戳，我们将尝试在下面进行整理和分类：

DoH实际上并没有阻止ISP用户跟踪

卫生部在企业领域造成严重破坏

卫生部削弱网络安全

卫生部帮助罪犯

不应该向异议人士推荐DoH

DoH将DNS流量集中在几个DoH解析器上

DOH实际上并没有阻止ISP用户跟踪

DoH支持者在过去一年一直在抱怨的主要观点之一是，DoH阻止ISP跟踪用户的DNS请求，从而阻止他们跟踪用户的网络流量习惯。

是。DoH阻止ISP查看用户的DNS请求。

但是，DNS并不是Web浏览中涉及的唯一协议。ISP仍然可以跟踪无数其他数据点，以了解用户的去向。有人说DoH阻止ISP跟踪用户是在撒谎还是不了解网络流量的工作方式。

如果用户正在访问通过HTTP加载的网站，则使用DoH是没有意义的，因为ISP仍然可以通过简单地查看纯文本HTTP请求来知道用户正在访问哪个URL。

但是，即使用户正在访问HTTPS网站，也是如此。ISP会知道用户连接到哪个站点，因为HTTPS协议不完善，并且HTTPS连接的某些部分未加密。

专家表示，DoH完全不会给ISP带来不便，因为它们可以轻松查看未加密的HTTPS部分-例如SNI字段和OCSP连接。

DoH精确加密零数据，这些数据尚未以未加密形式存在。就目前而言，使用DoH仅会提供*其他*数据泄漏。SNI，IP地址，OCSP和其余的HTTP连接仍然可以提供其余的信息。这是2019年的伪造隐私。

-Bert Hubert

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！