DNS over TLS和DNS通过HTTPS有什么区别

DNS over TLS和DNS通过HTTPS有什么区别？


       DNS over TLS（DoT）和DNS over HTTPS（DoH）听起来像是可以互换的术语。他们确实完成了同样的事情 - 加密DNS请求 - 但是有一个很大的区别：他们使用的端口。
但却创造了两个完全分裂的阵营，这些阵营有着根深蒂固的信念，哪个更好？一方面更具社会意识，更注重用户，其主要利益是隐私和人权。另一方面是一个更实用的组，甚至包括DNS的架构师之一，他们认为网络管理员需要能够查看和分析DNS活动。 这里有很多解包方法，但是值得深入研究细节，以便更好地了解DNS over TLS和DNS之间的区别 - 以及为什么这是一个重要的讨论。 所以，不用先说吧，让我们把它搞定一下......
什么是DNS？为什么需要TLS或HTTPS？    
        DNS代表域名系统。最好的比较，也是最陈词滥调，就是电话簿。当大多数人在网上冲浪时，他们不会输入实际的IP地址 - 他们输入统一资源定位器（URL）。DNS服务器获取该URL并找到它解析的IP地址。 例如，当您要访问SSL存储时，键入thesslstore.com，DNS服务器将获取该URL并找到与其关联的IP地址，在我们的示例中为107.23.230.173。但要求人们记住这一点毫无意义，因此无处不在的URL（谷歌试图杀死它）。 如果您想查找您正在访问的网站的IP地址，那么在Windows和Mac上都很容易。Windows用户只需在搜索栏中键入“cmd”并打开命令提示符，然后键入：tracert anydomain.com

        这对苹果用户来说更容易一些，也更优雅一点。在Mac的搜索栏中，键入“Network Utility”，然后单击以打开它。然后导航到Traceroute选项卡并在跟踪字段中输入域名。


从以上看，DNS请求是使用UDP或TCP协议进行的 - 这意味着它们是以纯文本格式发送的。
那么DNS over TLS和DNS之间的区别是什么？

    虽然这两个标准都加密了DNS请求，但DNS over TLS与DNS之间存在一些重要差异。IETF已将HTTPS上的DNS定义为RFC 8484，并将其通过TLS定义为RFC 7858和RFC 8310。 DNS over TLS使用TCP作为基本连接协议，并通过TLS加密和身份验证进行分层。通过HTTPS的DNS使用HTTPS和HTTP / 2进行连接。
 这是一个重要的区别，因为它会影响使用的端口。DNS over TLS有自己的端口，端口853.HTTP over HTTPS使用端口443，它是HTTPS流量的标准端口。 虽然拥有一个专用端口听起来像是一个优势，但在某些情况下它实际上恰恰相反。   
虽然DNS over HTTPS请求可以隐藏在其余的加密流量中，但是TLS上的DNS请求都来自一个唯一的端口，网络级别的任何人都可以轻松地看到它们甚至阻止它们。
当然，请求本身 - 其内容或响应 - 是加密的。所以你不知道被请求了什么，但是他们知道你使用的是DNS而不是TLS。而且至少会引起怀疑。这有点像在美国排名第五。它只是为了让你有一些隐藏的感觉，而且在很多国家里，对你的看法不是很好。
DNS over TLS的案例
Paul Vixie是DNS的架构师之一。鉴于这个问题，他的意见相当重要。上周末，他通过表达他的反对意见回应了Cloudflare推特关于RFC 8484（DNS over HTTPS）的加密负责人Nick Sullivan ： RFC 8484是用于互联网安全的集群。
但无论如何，从一个尽职尽责的人权活动家的角度来看，Vixie的反对意见更少，而且从经验丰富的安全老手的角度来看更多。同样的人权缺陷，识别DoT请求的能力 - 也是安全的福音。
它与HTTPS检查没有什么不同。从表面上看，打断HTTPS连接的想法听起来不错，而且肯定有一部分信息安全社区专注于安全性，并认为这种做法削弱了加密。但也有企业网络管理员和安全人员不愿意放弃检查其流量的能力。失去这种可见性是导致Equifax漏洞的一部分。攻击者喜欢隐藏在加密流量中，这是最近Magecart攻击重申的一点。
 
       DNS over TLS具有更多的细微差别，从网络健康的角度来看，这很有用。另一方面，通过HTTPS的DNS ... DoH是企业和其他私人网络的顶级绕道。但DNS是控制平面的一部分，网络运营商必须能够监控和过滤它。使用DoT，永远不要DoH，“ 推特Vixie。 Vixie认为，基于HTTPS的DNS删除了一个辅助流量检查的关键区分器。它还使阻止其他网站变得更加困难，因为您不必仅仅关闭通过特定端口发出的DNS请求，而是必须阻止所有可能导致各种令人头疼的HTTPS流量。
       从人权的角度来看，这是件好事，而网络安全则是坏事。 什么是更好的标准，DNS over DNS或DNS over TLS？ 这就是所有这场辩论都试图决定的！双方都存在合法有效的论点。什么是有用的ad-hominem攻击分散了其他有价值的对话。 鉴于这是一个人权问题，情绪必然会引发恐慌，但重要的是要记住支持DNS而不是TLS的一方，这有利于网络安全方法，但可能会引发一些隐私问题，因为他们'感冒或缺乏同理心，他们只是从不同的角度来看这个。
       有时从定性的角度来看，什么是最好的，从人权甚至道德观点来看，什么是最好的。对于DNS over TLS阵营中的许多人而言，这与现实世界的隐私问题无关，而且与他们通过HTTPS看到DNS作为DNS over TLS的低级标准这一事实有关。 这不是为了尊重他们的社会良知，而是为了设计最有效的标准。 即使不是每个人都在为同样的事情而战，也没有人反对隐私。 随着越来越多的发展，我们会不断更新。
     目前社会上普遍的设备支持GlobalSign SSL受信于每个主流的浏览器、 应用程序和设备。无论访客使用什么设备将自动信任您的SSL安全。金网科技官网（https://www.kingnettech.com/）已全新上架SSL证书产品。金网科技拥有专业的客服技术团队可7*24小时为您提供技术服务咨询支持，咨询电话：020-80922616。
您的满意，就是我们品牌的保证。