DNS域名系統(tǒng)(Domain Name
System的縮寫),是一個將域名和IP地址相互映射的分布式數(shù)據(jù)庫��,能夠使人通過便于記憶的域名地址訪問互聯(lián)網(wǎng)(比如:沃通官網(wǎng)www.wosign.com)�,而無需記住長串毫無關(guān)聯(lián)性的IP地址(比如:123.196.2.455)。DNS可以理解為“互聯(lián)網(wǎng)的地址簿”����,是互聯(lián)網(wǎng)的一項基礎(chǔ)服務(wù)。
DNS的重要性也讓其成了黑客主要攻擊對象��,常見的DNS攻擊包括:DNS劫持����、緩存投毒���、DNS欺騙等等,目的就是通過各種攻擊手段將正常訪問合法網(wǎng)站的用戶�,引到黑客控制的假冒服務(wù)器上,進(jìn)行釣魚欺詐���、竊取用戶憑證或敏感數(shù)據(jù)等非法行為�����。
為了防止針對DNS系統(tǒng)的攻擊���,強(qiáng)化域名系統(tǒng)的安全性,互聯(lián)網(wǎng)誕生了4種提升DNS安全性的協(xié)議�����,分別是DNSSEC�,DNSCrypt,DNS over
TLS��,DNS over HTTPS���。
什么是DNSSEC
DNSSEC是“Domain Name System Security
Extensions”的縮寫�����,代表域名系統(tǒng)安全擴(kuò)展����,允許域名所有者對DNS記錄進(jìn)行數(shù)字簽名�,簽名DNS記錄的私有簽名密鑰通常僅由合法域名所有者持有,因此可防止未經(jīng)授權(quán)的第三方修改DNS條目���。
DNSSEC誕生于1997年��,已經(jīng)列入互聯(lián)網(wǎng)標(biāo)準(zhǔn)化文檔(參考RFC 4033�、RFC 4034���、RFC
4035)�����,是最早大規(guī)模部署的DNS安全協(xié)議����,所有的根域名服務(wù)器都已經(jīng)部署了DNSSEC。
雖然DNSSEC已經(jīng)誕生20年�,但APNIC統(tǒng)計其采用率幾乎不到19.3%,ICANN敦促業(yè)界普及使用DNSSEC協(xié)議��。不過���,DNSSEC協(xié)議僅提供真實(shí)性和完整性的校驗(yàn)�����,無法確保DNS流量通信的機(jī)密性��。
什么是DNSCrypt
DNSCrypt是OpenDNS發(fā)布的加密DNS工具�。與SSL將HTTP流量轉(zhuǎn)換為HTTPS加密流量的原理相同����,DNSCrypt也是將常規(guī)DNS流量轉(zhuǎn)換為加密DNS流量,這樣可以防止竊聽和中間人攻擊�����。它不需要對域名或它們的工作方式進(jìn)行任何更改�����,只是提供了一種方法,安全加密客戶端與DNS服務(wù)器之間的通信�����。在一定程度上��,DNSCrypt比DNSSEC的保密性更強(qiáng)����,因?yàn)镈NSSEC只做數(shù)字簽名的校驗(yàn),而DNSCrypt既能加密DNS流量也能確保完整性����。
不過����,DNSCrypt客戶端必須明確信任所選提供者的公鑰,想使用哪個DNSCrypt服務(wù)器���,就需要預(yù)先安裝該服務(wù)器的公鑰���,而不是通過常規(guī)瀏覽器中受信任證書頒發(fā)機(jī)構(gòu)列表獲取信任;此外�����,DNSCrypt未申請列入標(biāo)準(zhǔn)化文檔,在大規(guī)模的應(yīng)用場景中存在一定的局限性�����。
什么是DNS over TLS
DNS over TLS(簡稱DoT)是一項安全協(xié)議����,它可以強(qiáng)制所有和DNS服務(wù)器相關(guān)的鏈接都使用TLS,已列入標(biāo)準(zhǔn)文檔(參見?RFC 7858?和?RFC
8310)�。
DNS over TLS 就是基于 TLS 隧道之上的域名協(xié)議,由于 TLS 本身已經(jīng)實(shí)現(xiàn)了保密性與完整性����,因此 DoT
自然也就具有這兩項特性。DoT通過TLS協(xié)議及SSL/TLS證書(如:沃通SSL證書)實(shí)現(xiàn)安全加密和身份驗(yàn)證�,實(shí)現(xiàn)保密性和完整性。
與前述兩項協(xié)議相比���,DNS over TLS更具優(yōu)勢:和DNSSEC相比�,DNS over TLS具備了保密性���;與 DNSCrypt相比���,DNS over
TLS已經(jīng)形成標(biāo)準(zhǔn)化文檔���。不過,目前支持DNS over TLS 的客戶端還不夠多���,主流瀏覽器還沒有計劃增加對DNS over TLS的支持�。
什么是DNS over HTTPS
很多人將DNS over HTTPS 和DNS over TLS混為一談�,事實(shí)上二者是兩種不同的協(xié)議,DNS over
TLS使用TCP作為基本的連接協(xié)議����,而DNS over HTTPS使用HTTPS和HTTP/2進(jìn)行連接;DNS over TLS有自己的端口853�,DNS
over HTTPS則使用HTTPS標(biāo)準(zhǔn)端口443。
不過����,兩種協(xié)議都是通過TLS加密和SSL/TLS證書(如:沃通SSL證書)來實(shí)現(xiàn)保密性與完整性�。目前,DNS over
HTTPS已經(jīng)形成相應(yīng)的草案���,但還沒有形成RFC標(biāo)準(zhǔn)化文檔正式發(fā)布�,但已經(jīng)受到主流瀏覽器的青睞,Mozilla?已經(jīng)決定在Firefox
Nightly中測試DNS-over-HTTPS協(xié)議���。
Web服務(wù)器使用HTTPS加密已經(jīng)得到廣泛的普及和認(rèn)同����,而加密DNS服務(wù)器流量其實(shí)也是同等重要的��。但實(shí)現(xiàn)DNS流量加密仍然需要DNS服務(wù)器��、客戶端瀏覽器等生態(tài)環(huán)境的支持��。在DNS加密生態(tài)尚未完整建立的初期�����,沃通CA推薦網(wǎng)站服務(wù)器部署超安EV
SSL證書��,在瀏覽器上直觀顯示綠色地址欄及單位名稱��,網(wǎng)站顯示名稱具有唯一性���,讓假冒服務(wù)器難以復(fù)制仿冒����,有效降低用戶被假冒網(wǎng)站釣魚欺詐的風(fēng)險。此外���,也建議域名所有者敦促服務(wù)商盡快支持DNS加密���,建立安全可信的DNS域名系統(tǒng)使用環(huán)境。
