DNS over TLS(简称DoT)是一项域名解析安全扩展协议,它使用TLS协议加密传输用户和递归解析服务器之间的DNS消息,起到防止中间用户窃听和域名查询隐私泄漏的作用。
DNS over TLS(简称 DoT)是一项域名解析安全扩展协议,它使用 TLS 协议加密传输用户和递归解析服务器之间的 DNS 消息,起到防止中间用户窃听和域名查询隐私泄漏的作用。
TLS 或者安全传输层协议是 SSL 的后继。尽管我们常把 SSL 当成 TLS 的俗称,但 SSL 实际上并不是什么安全协议,并迅速被 TLS 取代。你称作的 SSL 证书实际上是一个 TLS 证书。
整个 TLS 传输的过程如下:
TCP 三次握手SSL 的 ClientHello 和 ServerHello 和对应的秘钥交换 KeyExchangeClient 和 Server 互相 ChangeCipherSpec 通知进入加密模式,此时可以进入数据传输状态应用数据传输过程应用数据传输完成,TCP 两次挥手
抛开 TCP 连接和数据包文传输的部分,TLS 握手部分将使用 2 个 RTT。
DNS-over-TLS 和 HTTPS 类似,使用了 TCP 853 作为传输端口来完成 TLS 握手,再执行普通的 DNS 请求/应答。因此在 DNS-over-TLS 的整个过程中,将使用至少 4 次 RTT,这也将导致 DNS 的查询延时放大 4 倍。
DNS-over-TLS 在技术上并没有特别领先的概念,只是把相对通用的传输层 TLS 协议用在了 DNS 上,这样做确实确保了数据的加密和一致性,但是对于 DNS 的性能也带来了很大的挑战。
