V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
582217
V2EX  ›  DNS

DoH 可以完全取代 DNSSEC 吗?

  •  
  •   582217 · 2020-10-28 16:47:50 +08:00 · 4789 次点击
    这是一个创建于 1488 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前 DNS 的加密传输技术只用在用户到递归服务器的这一段链路上,递归服务器到权威服务器这一段还在用 DNSSEC,为啥要保留 DNSSEC 不全换成 DoH 呢? DoH 不但能保证数据完整性还多了加密不是很好吗?

    3 条回复    2020-11-30 11:21:10 +08:00
    Mitt
        1
    Mitt  
       2020-10-29 01:41:07 +08:00 via iPhone
    DoH 因为基于 https,引入了很多对 dns 来说多余的步骤,直接导致的就是 RTT 变多以及开销变大,结果就是 dns 解析的延迟高达几百毫秒,所以是不可能替代的,只能算一个备用方案
    Mitt
        2
    Mitt  
       2020-10-29 01:47:05 +08:00 via iPhone
    而且对递归服务器和权威服务器来说他们不需要 dns 查询是加密的,只需要查询结果是可靠的,加密只对用户有需要
    DaveySong
        3
    DaveySong  
       2020-11-30 11:21:10 +08:00
    DoH 提出的场景是解隐私问题,不是解决数据一致性问题,所以 DoH 的部署场景用户终端解析器( stub resolver )到递归( recursive resolve )之间。IETF Dprive WG 有关于递归到权威的 DNS over TLS 的讨论,但没有进展,因为递归到权威已经丢失用户信息了,数据一致性问题有 DNSSEC (虽然 DNSSEC 不如 TLS 对数据保护那么强),就不用再造轮子了。

    DNSSEC 只考虑递归到权威这一段有一个假设,是默认运营商(运营递归)对用户是可靠的。然而无论是用户体感,或者是最近的测量数据表示,用户到运营商递归这段链路被劫持的风险很大。所以 阿里腾讯推出的 DoH/Httpdns 都是主打防劫持功能,cover 用户到递归的访问。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   995 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 19:05 · PVG 03:05 · LAX 11:05 · JFK 14:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.