<<DNS-over-HTTPS (DoH) >>

DNS-over-HTTPS (DoH) 簡介：

DNS over HTTPS (DoH) 是一種特性，用於改進傳統DNS協定的安全性和隱私性。它利用HTTP協定的GET命令來發出經由JSON等編碼的DNS解析請求。不同於傳統的DNS協定，DoH使用SSL/TLS協定（HTTPS）來加密通訊，使得DNS查詢的內容得到保護。然而，由於HTTPS初始化過程需要額外的數據往返，使得DoH的域名解析速度相較於原本的DNS協定更慢。

傳統的DNS協定在網際網路初期形成，基於UDP或TCP協定，缺乏現代安全性需要的加密和驗證機制，因此容易受到各種DNS投毒污染和監聽等攻擊。後來出現的DNSSEC方案通過電子簽名加強了安全性，能夠抵禦DNS投毒污染等篡改通訊的手段，但對於中間網路裝置的監聽仍然無法防範。監聽者仍然可以通過獲取通訊數據得知使用者訪問了哪一域名，而這些域名通常與具體的網站相關聯。此外，DNSSEC的實施需要對現有大量的DNS解析服務進行修改，推進進程並不順利。

相對於上述問題，DoH在正確部署伺服器端和妥善配置客戶端的情況下，使網際網路服務提供者或其他中間網路裝置無法解密或篡改已加密的HTTPS通訊。這樣有效保護了網際網路使用者的安全和隱私。同時，DoH基於已成熟且廣泛部署的HTTPS協定，客戶端使用也比較方便。因此，DoH被視為一種更安全、更隱私保護的DNS解析方式。

荷蘭國家網路安全中心（NCSC）和亞太網路資訊中心（APNIC）對DNS-Over-HTTPS（DoH）提出了警告，認為其弊大於利。

DoH是一種加密的DNS解析請求方式，可以避免使用者的請求受到審查、監控或竄改，強調提高使用者的隱私和安全。但NCSC指出，依賴過濾機制進行安全監控的組織或企業將失去安全控制能力，必須將網域名稱解析交給第三方，可能導致資訊外洩和內部資源曝露。APNIC則指出，DoH只能阻止中間人攻擊，無法阻止DNS伺服器供應商檢視、封鎖或竄改DNS資料。

另外，使用者在訪問網站時，有些情況下仍會以明文傳輸敏感資訊，而DoH並未解決所有安全性問題。一些安全研究人員也擔憂DoH可能削弱網路安全，因為加密查詢流量後，無法利用黑名單或查詢資料判斷使用者是否連結到惡意網站，進而助長網路犯罪。

總體而言，DoH的實施引起了安全性和隱私性方面的爭議，需在平衡安全需求和使用便利性之間做出考慮。

 

DNS-over-HTTPS (DoH) 適用：

AdGuard

阿里雲公共 DNS

Cloudflare

DNSPod Public DNS

Google Public DNS

OpenDNS

QUAD9 DNS

台灣網路資訊中心（Quad 101）

Microsoft Windows

2019年11月17日，一篇在微軟官方部落格釋出的博文宣布，Windows 將支援 DNS over HTTPS（DoH)，以加密 DNS 流量保護使用者隱私。

Windows 11支援DoH。

 

DNS-over-HTTPS (DoH) API使用方式；

範例1(A)：

https://dns.google/resolve?name=yahoo.com.tw&type=A

範例2(CNAME)：

https://dns.google/resolve?name=yahoo.com.tw&type=CNAME

範例3(MX)：

https://dns.google/resolve?name=yahoo.com.tw&type=MX

範例4(TEXT)：

https://dns.google/resolve?name=yahoo.com.tw&type=TXT

範例5(DNS)：

https://dns.google/resolve?name=yahoo.com.tw&type=NS

範例6(ALL)：

https://dns.google/resolve?name=yahoo.com.tw&type=ALL

 

DNS-over-HTTPS (DoH) API使用範例；

1. 使用 Ajax 取得 "https://dns.google/resolve?name=neocities.org&type=TXT"

2. Doh回傳資料：

3. 取得其中參數：

4. 把資料編碼成EX_MD1：

5. 用取得的EX_MD1解密下面的資料：

U2FsdGVkX1/uG9N7Gg69X/93qnjTtM2yAh4L7gIkUZ76dF2gEFCJ3eJonaQsHcFbfRX2pBb+pKzafHqnuot7dxZVZVf2AVkSxmOaHSBbUY80ikGCDomrsz5dBW9hh+1sX2toR61NBQPuKtjTHL95jZWxou5G4ho4Tq2gJGWPE4n3yd2Rc50Uqj8MY4GaX8840s2G6O1R3rID57wZ5yZJ7WndEDjAi2+T7OCSwCPXNlBIfBiORxHKwR/A0wQT5yJf

6. 解密後的資料：

DNS-over-HTTPS (DoH) 參閱：

https://developers.google.com/speed/public...

https://en.wikipedia.org/wiki/DNS_over_HTTPS

https://zh.wikipedia.org/zh-tw/DNS_over_HTTPS

https://techcommunity.microsoft.com/t5/networkin...

https://blog.synology.com/cht/dns-over-https

https://blog.twnic.tw/2020/09/28/15122/

https://www.ithome.com.tw/news/133499

https://community.zyxel.com/tw/discussio...

https://learn.microsoft.com/zh-tw/windows...