DoH 可以完全取代 DNSSEC 吗？

DoH 因为基于 https，引入了很多对 dns 来说多余的步骤，直接导致的就是 RTT 变多以及开销变大，结果就是 dns 解析的延迟高达几百毫秒，所以是不可能替代的，只能算一个备用方案

而且对递归服务器和权威服务器来说他们不需要 dns 查询是加密的，只需要查询结果是可靠的，加密只对用户有需要

DoH 提出的场景是解隐私问题，不是解决数据一致性问题，所以 DoH 的部署场景用户终端解析器（ stub resolver ）到递归（ recursive resolve ）之间。IETF Dprive WG 有关于递归到权威的 DNS over TLS 的讨论，但没有进展，因为递归到权威已经丢失用户信息了，数据一致性问题有 DNSSEC （虽然 DNSSEC 不如 TLS 对数据保护那么强），就不用再造轮子了。

DNSSEC 只考虑递归到权威这一段有一个假设，是默认运营商（运营递归）对用户是可靠的。然而无论是用户体感，或者是最近的测量数据表示，用户到运营商递归这段链路被劫持的风险很大。所以 阿里腾讯推出的 DoH/Httpdns 都是主打防劫持功能，cover 用户到递归的访问。