HTTPS上的DNS导致的问题多于解决的问题
HTTPS上的DNS(DoH)协议并不是近几个月来许多人提倡的隐私灵丹妙药。
如果我们要听听网络和网络安全专家的意见,那么该协议就毫无用处,并且会引起更多的问题,而且还无法解决,并且越来越多的人对DoH及其作为一种可行的隐私保护方法进行宣传的批评。
TL; DR是大多数专家认为DoH不好的地方,人们应该将精力集中在实现更好的方式来加密DNS流量(例如,基于TLS的DNS)而不是DoH。
什么是卫生部和简短的历史
HTTPS上的DNS协议是最新发明。它创建于几年前,并于去年10月被提议作为互联网标准(IETF RFC8484)。Android已支持它,并计划于今年晚些时候在Mozilla Firefox和Google Chrome中推出。
该协议本身通过更改DNS的工作方式来工作。到目前为止,使用从网络提供商(通常是互联网服务提供商(ISP))接收到的本地操作系统的DNS设置,以纯文本形式从应用程序到DNS服务器进行DNS查询。
卫生部改变了这一范式。DoH对DNS查询进行加密,这些查询伪装成常规的HTTPS流量-因此是HTTP-over-HTTPS名称。这些DoH查询被发送到支持DoH的特殊DNS服务器(称为DoH解析器),该服务器在DoH请求中解析DNS查询,并以加密方式答复用户。
由于上述所有原因,具有DoH功能的产品的公司和组织一直在宣传DoH,以防止ISP跟踪用户的网络流量,并绕过压迫性国家的审查制度。
但是许多博学的人说这是谎言。网络和网络安全领域的几位专家公开批评了围绕DoH的一些主张以及将DoH推向任何地方的努力。
他们说,DoH并不是某些公司为了提高其作为“隐私第一”组织的形象而一直在营销活动中推广的神奇的用户隐私解决方案。
专家说,这些公司对推销一个半生熟的协议不负责任,该协议实际上并不能保护用户,并且会带来比修复更严重的问题,特别是在企业领域。
在某些情况下,对DoH的膏霜作为主要的隐私保护解决方案的反应是彻头彻尾的酸。评论家对协议在不同的平原上采取了刺戳,我们将尝试在下面进行整理和分类:
DoH实际上并没有阻止ISP用户跟踪
卫生部在企业领域造成严重破坏
卫生部削弱网络安全
卫生部帮助罪犯
不应该向异议人士推荐DoH
DoH将DNS流量集中在几个DoH解析器上
DOH实际上并没有阻止ISP用户跟踪
DoH支持者在过去一年一直在抱怨的主要观点之一是,DoH阻止ISP跟踪用户的DNS请求,从而阻止他们跟踪用户的网络流量习惯。
是。DoH阻止ISP查看用户的DNS请求。
但是,DNS并不是Web浏览中涉及的唯一协议。ISP仍然可以跟踪无数其他数据点,以了解用户的去向。有人说DoH阻止ISP跟踪用户是在撒谎还是不了解网络流量的工作方式。
如果用户正在访问通过HTTP加载的网站,则使用DoH是没有意义的,因为ISP仍然可以通过简单地查看纯文本HTTP请求来知道用户正在访问哪个URL。
但是,即使用户正在访问HTTPS网站,也是如此。ISP会知道用户连接到哪个站点,因为HTTPS协议不完善,并且HTTPS连接的某些部分未加密。
专家表示,DoH完全不会给ISP带来不便,因为它们可以轻松查看未加密的HTTPS部分-例如SNI字段和OCSP连接。
DoH精确加密零数据,这些数据尚未以未加密形式存在。就目前而言,使用DoH仅会提供*其他*数据泄漏。SNI,IP地址,OCSP和其余的HTTP连接仍然可以提供其余的信息。这是2019年的伪造隐私。
-Bert Hubert