2021年互联网域名产业报告——从DoH到ODoH
业务挑战
域名解析加密技术成为应对域名劫持、记录篡改和用户隐私泄露,实现流量精准调度、提升用户体验的可行措施之一。互联网工程任务组(IETF)公布的DoH/DoT 技术标准,提供了用户端与解析服务器端之间域名解析流量安全和隐私机制,在全球范围内开始得到部署和应用。我国企业也提出了基于HTTP 的域名解析技术思路,已有多家互联网企业自行定义接口规范、探索相关应用。使用DoT 和DoH 后,本质上仍不能解决解析服务商窥探用户隐私的问题,甚至可能在 DoH 场景下导致用户数据的进一步集中,带来新的隐私、安全、数据流动和司法管辖权等问题。此外,DoT 和DoH 的部署也可能使部分用于政府监管、家长控制、企业内网管理、广告和恶意软件拦截、钓鱼网站过滤、僵尸网络应对等现有本地流量、管理和安全策略失效,并带来用户选择、成本、责任等问题。
关键方案
为了解决用户隐私性问题,苹果、Fastly、Cloudflare 等企业又于2020 年开始制定新的技术标准草案“隐蔽DoH(Oblivious DNS Over HTTPS, ODoH)”,目前正在进行第6 版技术标准59的修订工作。ODoH通过添加一层公钥加密机制并在用户客户端与 DoH 解析服务器(即“目标服务器”) 之间加入代理服务器,以确保只有最终用户才能同时访问自身DNS 查询及应答数据,在保障DNS 查询安全性、完整性的同时改善客户端的隐私。具体工作机理为:客户端将 DNS 查询信息以 DoH 加密传输方式,经代理服务器传递给目标服务器;目标服务器对收到的信息进行解密,查询并获取用户所需的 DNS 应答信息(即 IP 地址);目标服务器随后会对 DNS 应答信息进行加密传输,经代理服务器返回客户端进行解密。基于 ODoH 方案,在代理服务器与目标服务器完全独立的前提下,目标服务器仅可获取DNS 查询和应答信息及代理服务器的IP 地址,但并不掌握 DNS 查询的实际来源;同时,由于加密机制,代理服务器无法识别、读取或修改客户端发送的 DNS 查询信息或目标服务器返回的应答信息。然而,现实中仍存在两类服务器由同一实体运行或相互勾连影响的可能性。在性能方面,通过在美国、加拿大和巴西对1.1.1.1、8.8.8.8 及9.9.9.9 等第三方递归解析服务采用 ODoH 的运行情况进行测试,Cloudflare 表示相关访问时延约与传统DoH 相比增加千分之一秒,几乎可忽略不计。
实验结果
(1)先说国内DoH应用情况:360 成为我国首家正式提供 DoH 服务的企业,已在 360 极速浏览器和企业安全浏览器中进行了部署应用。2020 年4 月,阿里云宣布其公共DNS(ALIDNS)已支持DOT/DOH标准并对外提供DNS 安全传输服务,适用于移动应用程序、浏览器、操作系统、物联网设备和网关路由器等多个场景。腾讯云推出的DOT/DOH 服务于 2020 年 7 月正式开放公测,采用本地缓存、提前预取、连接复用、对称加密等方式优化服务性能。
(2)再看ODoH应用情况:目前,ODoH 仍处于早期应用阶段。Cloudflare 已对ODoH 客户端和服务器端实现开源,并 在其1.1.1.1公共DNS 服务中支持ODoH。
观点
(1)对于用户来说,其实无论使用DoH还是ODoH都是有一定代价的,因为使用这两项功能就意味着无法使用本地host文件来实现广告拦截功能。同时无论是谷歌还是苹果合作伙伴Cloudflare所提供的可信DNS解析服务器,它们都是公开的,谷歌的是8.8.8.8,而Cloudflare则是1.1.1.1,这就代表ISP可以屏蔽这些DNS服务器地址,从而让用户转到其它的镜像服务器,并让网络访问直接退回到传统的Http协议。
(2)之所以谷歌与苹果、以及各家云厂商会如此迫切地希望DoH/DoT,除了隐私保护的因素外,可能也有自己的私心。众所周知。所有的域名查询都是从根服务器开始,而DNS根服务器目前仅有13组,标号从A到M,分别由12个运营商运营,但其中并没有谷歌与苹果的身影。而如果通过DoH/ODoH,谷歌自家的公共DNS,以及苹果合作伙伴Cloudflare DNS服务器的地位就会飞速上升,这无疑也可以视为是两者开始向更基础的互联网底层进行扩张,并为自己寻求更大话语权的一步棋。
分析来源:http://www.caict.ac.cn/kxyj/qwfb/ztbg/202107/P020210721569896835962.pdf
标签:DoH,代理服务器,ODoH,2021,DNS,服务器,Cloudflare From: https://blog.51cto.com/u_11908275/6943252