30多年来，互联网最关键的基础对每天使用它的10多亿人构成了隐私和安全威胁。现在，Cloudflare、苹果和content-delivery network快速推出了一种新方法来解决这个问题，它使用了一种防止服务提供商和网络窥探人员看到最终用户访问或发送电子邮件的地址的技术。

这三家公司的工程师已经设计出了隐身DNS，这是对当前域名系统的一个重大改变，该系统将人类友好的域名转换为计算机在互联网上寻找其他计算机所需的IP地址。两家公司正在与互联网工程任务小组合作，希望它能成为一个行业标准。被忽略的DNS构建了一个单独的DNS改进，称为DNS超过HTTPS，它仍然处于采用的早期阶段。

DNS现在的工作方式

当用户访问arstechnica.comor其他任何网站时，他们的浏览器必须首先获得主机服务器使用的IP地址(目前是3.128.236.93或52.14.190.83)。为此，浏览器会联系一个DNS解析器，该解析器通常由ISP或谷歌的8.8.8.8或Cloudflare的1.1.1.1等服务运行。然而，从一开始，DNS就存在两个关键弱点。

首先，DNS查询及其返回的响应是未加密的。这使得任何人都可以查看连接，监视用户正在访问的网站。更糟糕的是，有此功能的人还可以篡改回复，沐鸣开户测速这样用户就可以访问一个伪装成arstechnica.com的站点，而不是您正在阅读的站点。

为了解决这个问题，Cloudflare和其他公司的工程师开发了HTTPS (DoH)和TLS (DoT)的DNS。这两种协议都对DNS查找进行了加密，使得发送方和接收方之间的人员不可能查看或篡改流量。尽管DoH和DoT很有前途，但许多人仍然对它们持怀疑态度，主要是因为只有少数提供商提供它们。如此小的数据池使得这些提供商能够记录潜在的数十亿人的互联网使用情况。

这就引出了DNS的第二个主要缺点。即使当DoH或DoT就位时，加密也不能阻止DNS提供商不仅看到查找请求，还能看到生成这些请求的计算机的IP地址。这使得提供商可以建立地址背后的人的全面档案。如前所述，当DoH或DoT将提供商的数量减少到只有几个时，隐私风险会变得更大。

ODoH旨在修正第二个缺点。新出现的协议使用加密，并在终端用户和DoH服务器之间放置一个网络代理，以保证只有用户能够访问DNS请求信息和发送和接收该信息的IP地址。Cloudflare将最终用户称为客户端，并将由ISP或其他提供商操作的DNS解析器称为目标。下面是一个图表。

Cloudflare

它是如何工作的

Cloudflare研究人员Tanya Verma和Sudheesh Singanamalla在一篇介绍健忘DoH的博文中写道:

整个过程从客户使用HPKE为目标加密他们的查询开始。客户端通过DNS获取目标的公钥，该公钥被绑定到一个HTTPS资源记录中，并由DNSSEC保护。当此密钥的TTL过期时，客户端根据需要请求密钥的新副本(就像当记录的TTL过期时请求a /AAAA记录一样)。使用目标的dnssec验证的公钥可以保证只有预期的目标才能解密查询和加密响应(答案)。

客户端通过HTTPS连接将这些加密的查询传输到代理。收到查询后，代理将查询转发给指定的目标。然后，目标解密查询，通过将查询发送到递归解析器(如1.1.1.1)来生成响应，然后将响应加密到客户机。来自客户机的加密查询包含封装的键控材料，目标从这些材料派生响应加密对称密钥。

然后将此响应发送回代理，然后再转发给客户端。沐鸣开户测速尽管通过两个单独的HTTPS连接(客户端-代理和代理-目标)传输，但由于这些DNS消息是端到端加密的，所以所有通信都是经过身份验证和保密的。在其他情况下对代理显示为纯文本的消息实际上是加密的断语。

正在进行的工作

该帖子称，工程师们仍在衡量添加代理和加密的性能成本。然而，早期的结果似乎很有希望。在一项研究中，代理DoH查询/响应与对应的ODoH之间的额外开销在第99个百分位上小于1毫秒。Cloudflare在其文章中提供了关于ODoH性能的更详细的讨论。

到目前为止，ODoH仍在进行中。在Cloudflare的引导下，苹果和fast的贡献——以及Firefox和其他浏览器的兴趣——odoh值得认真对待。与此同时，谷歌、微软和其他关键厂商的缺席表明，微软还有很长的路要走。

可以肯定的是，DNS仍然非常薄弱。到2020年，互联网最基本的机制之一并没有普遍加密，这简直是疯了。批评人士反对DoH和DoT，因为担心他们用隐私换取安全。如果ODoH能够改变反对者的观点，并且在这个过程中不会破坏互联网，那么这一切都是值得的。