DoH 可以完全取代 DNSSEC 吗?

2020-10-28 16:47:50 +08:00
 582217

目前 DNS 的加密传输技术只用在用户到递归服务器的这一段链路上,递归服务器到权威服务器这一段还在用 DNSSEC,为啥要保留 DNSSEC 不全换成 DoH 呢? DoH 不但能保证数据完整性还多了加密不是很好吗?

4823 次点击
所在节点    DNS
3 条回复
Mitt
2020-10-29 01:41:07 +08:00
DoH 因为基于 https,引入了很多对 dns 来说多余的步骤,直接导致的就是 RTT 变多以及开销变大,结果就是 dns 解析的延迟高达几百毫秒,所以是不可能替代的,只能算一个备用方案
Mitt
2020-10-29 01:47:05 +08:00
而且对递归服务器和权威服务器来说他们不需要 dns 查询是加密的,只需要查询结果是可靠的,加密只对用户有需要
DaveySong
2020-11-30 11:21:10 +08:00
DoH 提出的场景是解隐私问题,不是解决数据一致性问题,所以 DoH 的部署场景用户终端解析器( stub resolver )到递归( recursive resolve )之间。IETF Dprive WG 有关于递归到权威的 DNS over TLS 的讨论,但没有进展,因为递归到权威已经丢失用户信息了,数据一致性问题有 DNSSEC (虽然 DNSSEC 不如 TLS 对数据保护那么强),就不用再造轮子了。

DNSSEC 只考虑递归到权威这一段有一个假设,是默认运营商(运营递归)对用户是可靠的。然而无论是用户体感,或者是最近的测量数据表示,用户到运营商递归这段链路被劫持的风险很大。所以 阿里腾讯推出的 DoH/Httpdns 都是主打防劫持功能,cover 用户到递归的访问。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/719504

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX