意思就是當瀏覽網域、網址時透過 443 SSL 加密這條路在作查詢解析,不是之前的 TCP UDP 協定的明碼連線,瀏覽器也都有支援了。
DNS over HTTPS(縮寫:DoH)是一個進行安全化的域名解析方案。其意義在於以加密的HTTPS協定進行DNS解析請求,避免原始DNS協定中使用者的DNS解析請求被竊聽或者修改的問題(例如中間人攻擊)來達到保護使用者隱私的目的。
需要 BIND 9.17 版本以上才可以支援 DNS over HTTPS
Server 要加入 SSL,並開啟 443 port
tls local-tls {
key-file "/path/to/priv_key.pem";
cert-file "/path/to/cert_chain.pem";
};
options {
listen-on port 443 tls local-tls http default {any;};
listen-on-v6 port 443 tls local-tls http default {any;};
}
dig 查詢可用 +https
dig +https @8.8.8.8 isc.org
像 google dns 已有 support
結果 (吃 SERVER: 8.8.8.8#443(8.8.8.8) (HTTPS))
; <<>> DiG 9.17.21 <<>> +https @8.8.8.8 isc.org ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34687 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;isc.org. IN A ;; ANSWER SECTION: isc.org. 300 IN A 149.20.1.66 ;; Query time: 44 msec ;; SERVER: 8.8.8.8#443(8.8.8.8) (HTTPS) ;; WHEN: Wed Dec 29 17:32:40 CST 2021 ;; MSG SIZE rcvd: 52
參考
Status of DNS-over-HTTPS support in BIND 9 as of March, 2021
DNS Over HTTPS With BIND 9.17, Ubuntu 21.04 And LetsEncrypt
留言