谷歌公共 DNS 服務器正式支持 DoH 加密

寫在最前：歡迎你來到「UC國際技術」公衆號，咱們將爲你們提供與客戶端、服務端、算法、測試、數據、前端等相關的高質量技術文章，不限於原創與翻譯。

今天，谷歌官方博客刊文宣佈谷歌公共 DNS 服務器正式支持 DoH 加密，爲用戶提供便捷訪問的同時也保護隱私。

谷歌稱自八年前推出谷歌公共 DNS 服務器至今，網絡環境已經發生很大變化，用戶迫切須要保護本身的隱私。谷歌公共 DNS 的任務就是爲全世界全部用戶提升 DNS 的安全性和準確性，所以谷歌 DNS 開始支持 DoH 加密。

當前谷歌公共 DNS 已經徹底接入 DoH 加密並最大限度的減小 TLS 開銷，包括 TLS 1.3 和 TCP 協議快速打開等等。加密功能對查詢速度有影響可是通過優化後影響已經很小很小，絕大多數用戶不會感受到加密後帶來的延遲。

如下是小編整理的 DNS 加密以及 DoH 的相關知識，感謝 編程隨想 博主的文章，文章地址在本文最後，感興趣的朋友們能夠進行了解。

爲什麼 DNS 須要加密

設計 DNS 的時候，互聯網基本上仍是個玩具。那年頭的互聯網協議，壓根兒都沒考慮安全性，DNS 固然也不例外。因此 DNS 的交互過程全都是【明文】滴，既沒法作到 「保密性」，也沒法實現 「完整性」。

• 缺少 「保密性」 就意味着——任何一個能【監視】你上網流量的人，均可以【看到】你查詢了哪些域名。直接引起的問題就是隱私風險。
• 缺少 「完整性」 就意味着——任何一個能【修改】你上網流量的人，均可以【篡改】你的查詢結果。直接引起的問題就是 「DNS 欺騙」（也叫 「DNS 污染」 或 「DNS 緩存投毒」）。

爲了解決傳統 DNS 的這些弊端，後來誕生了好幾個網絡協議，以強化域名系統的安全性。上文提到的 DoH 正是最晚誕生、也最被看好的一個。

DoH 何許人也

DoH 即 「DNS over HTTPS」的簡稱，顧名思義，DNS over HTTPS 就是基於 HTTPS 隧道之上的域名協議。而 HTTPS 又是 「HTTP over TLS」。因此 DoH 至關因而【雙重隧道】的協議。

DoH 最終依靠 TLS 實現了【保密性】與【完整性】。這麼作的好處是，即便有人監視你的上網流量，也沒法判斷——哪些 TLS 流量是用於域名查詢，哪些 TLS 用於網頁傳輸。換句話說，DoT 協議的流量沒法被【單獨識別】出來。

此外，因爲 DoH 是基於 HTTP 之上。而主流的編程語言都有成熟的 HTTP 協議封裝庫；再加上 HTTP 協議的使用自己很簡單。所以，要想用各類主流編程語言開發一個 DoH 的客戶端，是很是容易滴。

對 DoH 的討論

瀏覽器支持

• Firefox 從 62 版本開始支持 DoH，具體參見 Mozilla 官方博客。地址：blog.nightly.mozilla.org/2018/06/01/…
• Chrome/Chromium 從 66 版本開始支持 DoH。具體參見 Chromium 官網的 issue。地址：bugs.chromium.org/p/chromium/…

雖然 Firefox 和 Chrome/Chromium 都已經開始支持 DoH，但大夥兒別急着用。 按照歷史經驗，剛加入的新功能，可能還不夠穩定，沒準兒還存在未曝光的安全漏洞。多等幾個版本以後再說。

參考文章： program-think.blogspot.com/2018/10/Com…

好文推薦： Redux做者從「UI工程要素」談如何成爲領域專家

---

「UC國際技術」致力於與你共享高質量的技術文章

歡迎關注咱們的公衆號、將文章分享給你的好友