2021年互联网域名产业报告——从DoH到ODoH

2021年互联网域名产业报告——从DoH到ODoH

业务挑战

域名解析加密技术成为应对域名劫持、记录篡改和用户隐私泄露，实现流量精准调度、提升用户体验的可行措施之一。互联网工程任务组（IETF）公布的DoH/DoT 技术标准，提供了用户端与解析服务器端之间域名解析流量安全和隐私机制，在全球范围内开始得到部署和应用。我国企业也提出了基于HTTP 的域名解析技术思路，已有多家互联网企业自行定义接口规范、探索相关应用。使用DoT 和DoH 后，本质上仍不能解决解析服务商窥探用户隐私的问题，甚至可能在 DoH 场景下导致用户数据的进一步集中，带来新的隐私、安全、数据流动和司法管辖权等问题。此外，DoT 和DoH 的部署也可能使部分用于政府监管、家长控制、企业内网管理、广告和恶意软件拦截、钓鱼网站过滤、僵尸网络应对等现有本地流量、管理和安全策略失效，并带来用户选择、成本、责任等问题。

关键方案

为了解决用户隐私性问题，苹果、Fastly、Cloudflare 等企业又于2020 年开始制定新的技术标准草案“隐蔽DoH（Oblivious DNS Over HTTPS, ODoH）”，目前正在进行第6 版技术标准59的修订工作。ODoH通过添加一层公钥加密机制并在用户客户端与 DoH 解析服务器（即“目标服务器”） 之间加入代理服务器，以确保只有最终用户才能同时访问自身DNS 查询及应答数据，在保障DNS 查询安全性、完整性的同时改善客户端的隐私。具体工作机理为：客户端将 DNS 查询信息以 DoH 加密传输方式，经代理服务器传递给目标服务器；目标服务器对收到的信息进行解密，查询并获取用户所需的 DNS 应答信息（即 IP 地址）；目标服务器随后会对 DNS 应答信息进行加密传输，经代理服务器返回客户端进行解密。基于 ODoH 方案，在代理服务器与目标服务器完全独立的前提下，目标服务器仅可获取DNS 查询和应答信息及代理服务器的IP 地址，但并不掌握 DNS 查询的实际来源；同时，由于加密机制，代理服务器无法识别、读取或修改客户端发送的 DNS 查询信息或目标服务器返回的应答信息。然而，现实中仍存在两类服务器由同一实体运行或相互勾连影响的可能性。在性能方面，通过在美国、加拿大和巴西对1.1.1.1、8.8.8.8 及9.9.9.9 等第三方递归解析服务采用 ODoH 的运行情况进行测试，Cloudflare 表示相关访问时延约与传统DoH 相比增加千分之一秒，几乎可忽略不计。

实验结果

（1）先说国内DoH应用情况：360 成为我国首家正式提供 DoH 服务的企业，已在 360 极速浏览器和企业安全浏览器中进行了部署应用。2020 年4 月，阿里云宣布其公共DNS（ALIDNS）已支持DOT/DOH标准并对外提供DNS 安全传输服务，适用于移动应用程序、浏览器、操作系统、物联网设备和网关路由器等多个场景。腾讯云推出的DOT/DOH 服务于 2020 年 7 月正式开放公测，采用本地缓存、提前预取、连接复用、对称加密等方式优化服务性能。

（2）再看ODoH应用情况：目前，ODoH 仍处于早期应用阶段。Cloudflare 已对ODoH 客户端和服务器端实现开源，并 在其1.1.1.1公共DNS 服务中支持ODoH。

观点

（1）对于用户来说，其实无论使用DoH还是ODoH都是有一定代价的，因为使用这两项功能就意味着无法使用本地host文件来实现广告拦截功能。同时无论是谷歌还是苹果合作伙伴Cloudflare所提供的可信DNS解析服务器，它们都是公开的，谷歌的是8.8.8.8，而Cloudflare则是1.1.1.1，这就代表ISP可以屏蔽这些DNS服务器地址，从而让用户转到其它的镜像服务器，并让网络访问直接退回到传统的Http协议。

（2）之所以谷歌与苹果、以及各家云厂商会如此迫切地希望DoH/DoT，除了隐私保护的因素外，可能也有自己的私心。众所周知。所有的域名查询都是从根服务器开始，而DNS根服务器目前仅有13组，标号从A到M，分别由12个运营商运营，但其中并没有谷歌与苹果的身影。而如果通过DoH/ODoH，谷歌自家的公共DNS，以及苹果合作伙伴Cloudflare DNS服务器的地位就会飞速上升，这无疑也可以视为是两者开始向更基础的互联网底层进行扩张，并为自己寻求更大话语权的一步棋。

分析来源：http://www.caict.ac.cn/kxyj/qwfb/ztbg/202107/P020210721569896835962.pdf