专家称，HTTPS上的DNS导致的问题比它解决的问题更多

DNS-over-HTTPS(DoH)协议并不是近几个月来许多人一直倡导的隐私灵丹妙药。

如果我们听取网络和网络安全专家的意见，该协议在某种程度上是无用的，造成的问题比它修复的问题更多，对卫生部和那些将其宣传为可行的隐私保护方法的人的批评一直在增加。

TL；DR是大多数专家认为DoH不好，人们应该集中精力实现更好的方法来加密DNS流量--例如TLS上的DNS--而不是DoH。

HTTPS上的DNS协议是最近的发明。它是几年前创建的，并于去年10月提出成为互联网标准(IETF RFC8484)，它已经在Android上得到支持，并计划在今年晚些时候在Mozilla Firefox和Google Chrome中推出。

协议本身通过改变DNS的工作方式来工作。到目前为止，DNS查询是使用从网络提供商(通常是互联网服务提供商(ISP))收到的本地操作系统的DNS设置，以明文形式进行的，从应用程序到DNS服务器。

DOH改变了这一范式。DOH加密DNS查询，这些查询伪装成常规HTTPS流量--因此得名为DNS-over-HTTPS。这些DoH查询被发送到特殊的支持DoH的DNS服务器(称为DoH解析器)，这些服务器解析DoH请求内的DNS查询，并以加密方式回复用户。

正因为如此，拥有DoH产品的公司和组织一直在宣传DoH，以阻止ISP跟踪用户的网络流量，并作为绕过专制国家审查的一种方式。

但许多有学问的人说这是谎言。网络和网络安全领域的几位专家公开批评了围绕卫生部的一些说法，以及将其推向几乎所有地方的努力。

他们说，DoH并不是一些公司在营销努力中一直在推动的神奇的用户隐私疗法，目的是提升他们作为隐私优先组织的形象。

专家表示，这些公司推行一项不成熟的协议是不负责任的，该协议实际上并没有保护用户，而且造成的问题比修复的问题更多，特别是在企业界。

在某些情况下，对卫生部被指定为主要的隐私保护解决方案的反应一直是彻头彻尾的酸。批评家们在不同的平原上抨击了该议定书，我们将尝试将其组织和归类如下：

在过去的一年里，卫生部支持者一直在讨论的一个主要问题是，卫生部阻止互联网服务提供商跟踪用户的DNS请求，从而阻止他们跟踪用户的网络流量习惯。

但是，DNS并不是Web浏览所涉及的唯一协议。还有无数其他数据点可供ISP跟踪，以了解用户的去向。任何说卫生部阻止互联网服务提供商跟踪用户的人要么是在撒谎，要么就是不了解网络流量是如何运作的。

如果用户正在访问通过HTTP加载的网站，使用DoH是没有意义的，因为ISP仍然可以通过查看明文HTTP请求来知道用户正在访问的URL。

但即使用户正在访问HTTPS网站，情况也是如此。因为HTTPS协议并不完美，而且HTTPS连接的某些部分没有加密，所以ISP将知道用户正在连接哪个站点。

专家说，互联网服务提供商根本不会受到DoH的不便，因为他们可以很容易地查看这些未加密的HTTPS部分，例如SNI字段和OCSP连接。

DOH精确加密尚未以未加密形式存在的零数据。按照目前的情况，使用DoH只会提供*额外的“数据泄漏”。SNI、IP地址、OCSP和剩余的HTTP连接仍提供其余部分。这是2019年的假隐私。

--伯特·休伯特🇪🇺(@powerdns_bert)2019年9月22日。

此外，无论如何，互联网服务提供商对每个人的流量都了如指掌。通过设计，他们可以在访问网站时看到用户正在连接的IP地址。

此IP地址不能隐藏。知道最终IP目的地会揭示用户正在连接到哪个网站，即使有关其流量的所有信息都已加密。今年8月公布的一项研究显示，第三方仅通过查看IP地址就可以95%的准确率识别用户连接的网站。

专家认为，任何声称卫生部阻止ISP跟踪用户的说法都是不真诚的，具有误导性。卫生部只是将互联网服务提供商的视线限制在一个载体上，这只是给他们带来了不便，但他们还有很多其他的载体。

第二个主要话题是DoH&39；对企业部门的影响，系统管理员使用本地DNS服务器和基于DNS的软件来过滤和监控本地流量，以防止用户访问与工作无关的站点和恶意软件域。在企业界，系统管理员使用本地DNS服务器和基于DNS的软件来过滤和监控本地流量，以防止用户访问与工作无关的站点和恶意软件域。

对于企业来说，卫生署自提出以来就是一场噩梦。DOH基本上创建了一种覆盖集中实施的DNS设置的机制，并允许员工使用DoH绕过任何基于DNS的流量过滤解决方案。

由于今天的DNS服务器不支持DoH查询，目前支持DoH的应用程序附带了硬编码的DoH服务器列表，有效地将DoH与操作系统的常规DNS设置分开(这是一个软件设计的大禁忌，已经激怒了一些开发人员，如OpenDNS团队)。

系统管理员需要跨操作系统密切关注DNS设置，以防止DNS劫持攻击。拥有数百个具有自己独特的DoH设置的应用程序是一场噩梦，因为这使得对DNS劫持的监控几乎是不可能的。

一旦DOH普及，它将成为所有员工最喜欢的绕过企业过滤器访问其工作场所通常被屏蔽的内容的方法。

有些人可能会用它来访问电影流媒体网站或成人内容，但一旦启用，DoH就会保持启用状态，员工也可能会意外访问恶意软件和网络钓鱼网站，这就把我们带到了下一个要点……。

许多专家表示，该协议颠覆了数百种网络安全解决方案，一旦用户开始在浏览器内使用DoH，这些解决方案将变得毫无用处，使安全工具无法看到用户在做什么。

已经有许多专家对这个问题发出了警告，他们的声音被那些声称DOH是自切片面包以来最伟大的东西的人淹没了。

本周早些时候，BlueCat首席战略官安德鲁·沃特金(Andrew Wertkin)通过电子邮件告诉ZDNet，当DNS协议被加密后，组织不能再使用DNS查询的数据(查询类型、响应、发起IP等)来了解用户是否试图访问已知的坏域，更不用说触发对该域名的拦截或重定向操作了。

RFC 8484是一种用于互联网安全的群集鸭。很抱歉给你的游行带来了麻烦。囚犯们已经接管了收容所。

-Paul Vixie(@paulvixie)2018年10月20日

HTTPS#DoH上的DNS绝对是件大事。我认为这将对网络安全监控和检测产生非同小可的影响。#dailypcap相当直截了当，但也有一些不错的读物：1)https://t.co/RnSito66aK 2)https://t.co/vDOWEHbBog 3)https://t.co/hNnvLYGKdn pic.twitter.com/AEgM5H9wui。

-史蒂夫·米勒(@stvemillertime)2018年10月24日。

在上个月发表的一篇论文中，世界上最大的网络安全培训机构之一的SANS研究所说，毫无节制地使用加密DNS，特别是HTTPS上的DNS，可能会让攻击者和内部人员绕过组织控制。

荷兰国家网络安全中心(National Cyber Security Centrum)在本周五(10月4日)发布的一份安全公告中也发出了类似的警告。荷兰官员警告说，使用基于DNS的安全监控解决方案的组织可能会看到他们的可见性随着时间的推移而下降，这些安全产品将变得无效。

他们的建议是，公司需要寻找阻止传出流量的替代方法，即不只依赖DNS数据的解决方案。SANS研究所敦促组织不要惊慌，但这将需要花费大量的资金和时间来更新系统，这是许多组织不愿意做的。

他们需要迅速行动，因为恶意软件作者也已经意识到DoH的用处有多大。例如，在7月份，第一个使用DoH与其指挥和控制服务器通信的恶意软件浮出水面，不受本地网络监控解决方案的阻碍。

但安全研究人员和企业管理员并不愚蠢。他们还了解保护DNS查询不被窥探的必要性。

然而，如果由他们决定，他们会主张推动DNSSEC和DNS-over-TLS(DOT)，这是一种类似于DoH的协议，但它完全加密DNS连接，而不是将DNS流量隐藏在HTTPS中。

DOH是企业和其他专用网络的过顶旁路。但是DNS是控制平面的一部分，网络操作员必须能够对其进行监控和过滤。使用点，从不使用DoH。

-Paul Vixie(@paulvixie)2018年10月21日。

对于一个复杂的问题，DoH是一个不幸的答案。我个人更喜欢DOT(DNS胜过TLS)。通过DoH将诸如名称解析之类的操作系统级功能交到应用程序手中不是一个好主意。看看@paulvixie一直在写些什么，以获得最有见地的评论。

-Richard Bejtlich(@taosecsecurity)2019年9月10日。

DOT与DoH有一些相同的缺点，但是如果安全研究人员必须在DoH和DOT之间做出选择，那么后者引起的麻烦会少得多，因为它将在现有的DNS基础设施之上工作，而不是创建自己类别的支持DoH的解析器。

Technitium DNS服务器的创建者Shreyas Zare说，所有部署了DOT和支持DOT的主要操作系统(OS)的主要ISP都将极大地帮助提高隐私和安全性，并保持权力下放。他上个月在一篇博客文章中总结了DoH对企业界的影响。

关于DoH的另一个主要讨论是它绕过了由专制政府设置的基于DNS的黑名单的能力。使用DoH，用户可以绕过在国家或ISP级别设置的基于DNS的防火墙，这些防火墙通常是为了在线审查和阻止用户访问政治敏感内容。

问题是，卫生部还绕过了基于DNS的黑名单，这些黑名单是出于合法原因设立的，比如那些反对访问虐待儿童网站、恐怖主义内容和带有被盗版权材料的网站的黑名单。

这就是为什么Mozilla和Google最近都发现自己遇到了英国和美国当局的麻烦。

5月中旬，工党议员桑顿男爵夫人(Baroness Thornton)在下议院的一次会议上提到了DoH协议及其即将得到浏览器制造商的支持，称其对英国的网络安全构成威胁。

英国政府通信总部(GCHQ)也批评了谷歌(Google)和Mozilla，声称新协议将阻碍警方的调查，它可能会破坏政府现有的针对恶意网站的保护，因为它为坏人提供了绕过其互联网监控系统的途径。

互联网观察基金会(IWF)是一家英国监督组织，其宣称的使命是将在线儿童性虐待内容的可用性降至最低。该组织也批评了谷歌和Mozilla，称这两家浏览器制造商提供了一种访问非法内容的新方法，破坏了多年来保护英国公众免受虐待内容的努力。

今年7月，一家英国互联网服务提供商提名Mozilla为2019年互联网恶棍奖，理由与IWF类似，原因是它计划支持DoH。

9月，美国众议院司法委员会开始调查谷歌启用卫生部的计划，声称卫生部的支持可能会大规模干扰关键的互联网功能，并引发数据竞争问题。

当谷歌和Mozilla宣布计划支持DoH作为反审查解决方案时，每个人都预计阻力来自中国、伊朗或俄罗斯等压迫政权；然而，阻力来自最意想不到的地方。

而Mozilla已经在压力下崩溃了。该组织在7月份告诉ZDNet，它不打算再为英国用户默认启用DoH。另一方面，谷歌表示，它在Chrome中设计DoH支持的方式是，责任完全落在为DNS服务器提供替代DoH解析器的公司身上。

大多数安全专家对卫生部的另一个主要问题是最近声称它可以帮助那些生活在压迫国家的人。

这些说法受到了广泛的嘲笑，一些安全专家称卫生部的支持者不负责任，如果他们使用卫生部，就会让他们有一种错误的安全感，从而将人们的生命置于危险之中。

这是因为DoH不保护用户免受跟踪。如上所述，DoH仅隐藏DNS流量，但其他所有内容仍然可见。

在上个月的一篇博客文章中，PowerDNS将宣传卫生部可以帮助危险国家用户这一理念的努力，描述为一件非常技术性的事情，出自那些不完全了解情况的人之手。

PowerDNS表示：将DoH视为只加密DNS数据包，而不对所有其他数据包进行修改的非常部分的VPN"；是一种很有意义的做法。(#34；PowerDNS"；PowerDNS说。

相反，像Zare和PowerDNS这样的专家建议在受压迫的国家的用户将支持DoH的应用程序与ToR或VPN结合使用，而不是单独使用DoH。告诉人们他们可以完全依赖卫生部只是误导。

还有一个问题就是卫生部对整个DNS生态系统--一个分散的服务器网络--的影响。

这一举措的最大批评者是亚太网络信息中心(APNIC)，该中心在本周的一篇博客文章中批评了将DoH流量发送到几个DoH解析器的想法，而不是使用现有的DNS服务器生态系统。

他们认为，加密DNS流量应该在当前的基础设施上完成，而不是创建另一个(无用的)DoH解析器层，该解析器位于现有的DNS层之上。

APNIC说，集中式DoH目前是隐私网络的负面影响，因为任何可以看到您的元数据的人在DNS移动到第三方时仍然可以看到您的元数据。此外，第三方随后会获得所有DNS查询的每个设备的完整日志，甚至可以跨IP地址跟踪。

APNIC补充说，加密DNS很好，但如果能在不涉及其他各方的情况下做到这一点，那就更好了。

一般的想法是，HTTPS上的DNS并不是许多人认为的那样。它实际上并不能保护用户免受网络流量的窃听，而且对危险国家的持不同政见者来说也没什么用处。

想要隐藏其Web流量的用户仍应将VPN和ToR视为更安全的解决方案，并在可用的情况下使用DoH作为额外的保护层。

企业将需要投资于新的流量监控和过滤方法，因为基于DNS的系统时代似乎即将结束，需要具有TLS拦截功能的混合解决方案。这样的系统已经存在，但它们很昂贵，这也是为什么许多公司到目前为止一直依赖基于DNS的系统的主要原因。