行业新闻与博客

尽管它们听起来像是同一件事，但有一个主要区别，这引起了激烈的辩论。

TLS（DoT）上的 DNS 和 HTTPS（DoH）上的 DNS 听起来像是同一事物的可互换术语。实际上，它们确实完成了相同的工作-加密 DNS 请求-但有一个很大的不同：它们使用的端口。

虽然听起来很简单，却创建了两个完全分裂的阵营似乎很愚蠢，他们根深蒂固地相信哪个更好，但赌注很高。一方面更具有社会意识，更加面向用户，他们的主要兴趣是隐私和人权。另一方面，是一个更为务实的小组，甚至包括 DNS 的一位架构师，他们提出了网络管理员需要能够查看和分析 DNS 活动的理由。

这里有很多要解压的内容，但是值得深入研究以使您更好地了解 TLS 上的 DNS 与 HTTPS 上的 DNS 之间的区别，以及为什么这是重要的讨论。

因此，事不宜迟，让我们对其进行散列...

什么是 DNS？为什么需要 TLS 或 HTTPS？

DNS 代表域名系统。最好的比较，也是最陈词滥调的是电话簿。当大多数人在网上冲浪时，他们没有输入实际的 IP 地址，而是输入统一资源定位符（URL）。DNS 服务器采用该 URL 并找到其解析为的 IP 地址。

例如，当您想访问 SSL 商店时，键入 thesslstore.com，DNS 服务器将获取该 URL 并找到与其关联的 IP 地址，在本例中为 107.23.230.173。但是让人们记住这一点是没有意义的，因此 URL 的无处不在（Google 试图杀死它）。

如果您想查找要访问的网站的 IP 地址，则在 Windows 和 Mac 上都非常容易。Windows 用户只需在搜索栏中键入“ cmd”并打开命令提示符，然后键入：

Tracert anydomain.com

对于 Apple 用户来说，这更容易一些，也更加优雅。在 Mac 的搜索栏中，键入“网络实用程序”，然后单击以将其打开。然后导航至 Traceroute 选项卡，并在 trace 字段中输入域名。简单。

从历史上看，DNS 请求是使用 UDP 或 TCP 协议发出的，这意味着它们以明文形式发送。

正如我们将要讨论的那样，这可能是个问题。

为什么我们需要加密 DNS 请求？

如果您像大多数读者一样居住在美国，英国或澳大利亚，则很容易理会我们所享有的权利和自由。从更大的角度来看，我们对隐私的关注是微不足道的。上周，我发现自己是 5000 万左右被 Facebook 数据泄露的幸运儿之一。

尽管这非常令人讨厌，但这就是我们嘲笑的第一世界问题。尽管存在一些可怕的离群值，但对我们大多数人来说，最严重的是身份盗用。那不是笑的事，但这也不是对您生命或自由的威胁。除了儿童色情和鼻烟之外，在美国，英国和西方许多国家，您无所不能。

对于世界其他地区来说，确实如此。中国有一个众所周知的受限互联网（谷歌目前正在为其开发一个秘密审查的搜索引擎）。

俄罗斯，北朝鲜，伊朗，沙特阿拉伯-仅举几个较大的国家为代表，这些国家限制了公民对互联网的使用。

根据自由之家（Freedom House）的统计，全世界只有不到四分之一的互联网用户生活在被指定为免费互联网的国家。就权利和自由而言，这是免费的，而不是价格。36％的互联网用户居住在互联网受到完全限制的国家，另外 28％的国家生活在互联网受到部分限制的国家。

赫克，几周前，整个埃塞俄比亚国家关闭了互联网，试图平息当时可能发生的军事政变。

而且，当您的互联网历史记录可能导致您被司法以外的拘留，伤害或什至杀死时，是否能够混淆那些 DNS 请求可能是生死攸关的问题。这看似夸张的，但是并不需要进行大量研究就可以发现普通人会因互联网使用而被标记为异见人士。

这就是为什么对于参与这场辩论的一些政党来说，这是一个人权问题，它可以激起相当大的情绪。

没有人争辩说不应该对 DNS 请求进行加密，争论的焦点是如何做到最好。

好的，那么 TLS 上的 DNS 和 HTTPS 上的 DNS 有什么区别？

虽然这两个标准都对 DNS 请求进行加密，但是 TLS 上的 DNS 与 HTTPS 上的 DNS 之间存在一些重要区别。IETF 已将 HTTPS 上的 DNS 定义为 RFC 8484，并将 TLS 上的 DNS 定义为 RFC 7858 和 RFC 8310。

TLS 上的 DNS 使用 TCP 作为基本连接协议，并在 TLS 加密和身份验证之上进行分层。通过 HTTPS 的 DNS 使用 HTTPS 和 HTTP / 2 进行连接。

这是一个重要的区别，因为它会影响所使用的端口。TLS 上的 DNS 具有自己的端口 853。HTTPS 上的 DNS 使用端口 443，这是 HTTPS 流量的标准端口。

尽管拥有专用端口听起来像是一个优势，但在某些情况下，实际上恰恰相反。尽管通过 HTTPS 请求进行的 DNS 可以隐藏在其余的加密流量中，但是通过 TLS 请求进行的 DNS 都使用不同的端口，网络级别的任何人都可以轻松地看到它们甚至阻止它们。

当然，请求本身（其内容或响应）已加密。因此，您将不知道所请求的内容，但他们会知道您正在使用基于 TLS 的 DNS。至少这会引起怀疑。这有点像在美国排名第五。它只是使您觉得自己有些隐藏的东西，在许多国家 / 地区，对您的感觉也不佳。

TLS 上的 DNS 的情况

Paul Vixie 是 DNS 的架构师之一。考虑到这个问题，他的观点具有重要意义。上周末，他通过反对他的反对意见回应了 Cloudflare 在 Twitter 上关于 RFC 8484（基于 HTTPS 的 DNS）的 Twitter 声明中的加密负责人 Nick Sullivan ：

RFC 8484 是用于 Internet 安全的集群鸭子。很抱歉下雨游行。犯人接管了庇护。

就个人而言，在鸭子部门，我偏爱野鸭，但无论如何，Vixie 的反对不是从尽责的人权活动家的角度出发，而是从经验丰富的安全经验丰富的人的角度出发。那些同样的人权缺陷，即识别 DoT 请求的能力-也是安全的福音。

这与 HTTPS 检查不同。从表面上看，中断 HTTPS 连接的想法听起来像是个坏主意，并且肯定是 infosec 社区中的一部分专门关注安全性，并认为这种做法削弱了加密。但是，还有一些企业网络管理员和安全人员会不愿意放弃检查其流量的能力。失去可见性是导致 Equifax 漏洞的部分原因。攻击者喜欢隐藏在加密的流量中，最近的 Magecart 攻击再次证明了这一点。

TLS 上的 DNS 具有更多细微差别，从网络健康角度来看，这很有用。另一方面，基于 HTTPS 的 DNS…

DoH 是企业和其他专用网络的最高旁路。但是 DNS 是控制平面的一部分，网络运营商必须能够对其进行监视和过滤。使用 DoT，不要使用 DoH，” Vixie 发推文说。

Vixie 认为，基于 HTTPS 的 DNS 删除了有助于进行流量检查的关键区分符。这也使阻止其他网站变得更加困难，因为必须关闭所有 HTTPS 流量，而不是仅关闭通过特定端口的 DNS 请求，否则可能会引起各种麻烦。

从人权的角度来看，这是一件好事，而从网络安全角度来看，这是一件坏事。

更好的标准是 HTTPS 上的 DNS 或 TLS 上的 DNS？

这就是所有辩论都在试图决定的内容！双方都有合法有效的论据。无用的攻击攻击会分散原本值得进行的对话，从而使攻击无济于事。

鉴于这是一个人权问题，人们的情绪必然会爆发，但重要的是要记住倡导使用 TLS 的 DNS 的一方，这有利于网络安全方法，但有可能带来一些隐私问题，因为他们担心这种问题感到冷漠或缺乏同情心，他们只是从不同的角度看待这一点。

有时，从质的角度来看最好的东西，从人权甚至道德的角度来看最好的东西并不一致。对于 TLS 上 DNS 阵营中的许多人来说，这与现实世界中的隐私问题无关，并且与他们将 HTTPS 上的 DNS 视为 TLS 上的 DNS 的次等标准无关。

这不是为了尊重他们的社会良心，而是要设计最有效的标准。

没有人在与隐私作斗争，即使不是每个人都为同一件事而斗争。

随着更多的发展，我们将不断向您更新。