就在Mozilla与Google相继宣布要在Firefox与Chrome浏览器中导人DoH(DNS-over-HTTPS)之后,外界质疑的声浪就不曾断过,而近日荷兰国家网络安全中心(NCSC)与亚太网络信息中心(APNIC)也出面批评DoH,前者声称DoH将让组织更难执行安全控制,后者则说DoH不利隐私,呼吁外界不要对DoH有着过度期待。
DoH就是传递域名服务器(DNS)解析请求时采用HTTPS加密协议,而非使用标准的明文请求,因而可以避免用户的请求受到审查、监控或遭到篡改,标榜能够强化用户的隐私与安全。
不过,这些特色同样也带来了困扰。例如NCSC便说,那些依赖过滤机制来进行安全监控的组织或企业,将因此失去安全控制能力,而得将域名名称解析的任务交给第三方,可能因此造成信息外泄,暴露组织内部的资源命名,甚至破坏内部网络的连接。
而APNIC则说明,DNS(域名服务器)通常是由网络的操作者所提供,可能是ISP企业、可能是电信企业、可能是企业主,或者是邪恶的公开Wi-Fi,但DoH基本上只能阻止中间人攻击,并无法阻止DNS服务器供应商审查、封锁或篡改DNS数据。
此外,APNIC指出,其实在4种情况下用户所访问的网站都会以明文传输,DNS只是其中之一,有些浏览器允许用户以HTTP提出请求,再转至HTTPS;或者是TLS经常必须以明文传输用户打算连接的网站名称;为了确保TLS传输是有效的,浏览器与TLS会执行OCSP来查找CA供应商,而该查找内容也为明文;且研究显示,有95%的网站只要通过IP地址就能确认它们的身份,且IP地址无法加密。
除了NCSC与APNIC之外,ZDNet也整理了许多安全研究人员对DoH的担忧。除了上述的DoH并无法阻止ISP企业关注用户、可能破坏组织的安全监控之外,还有人认为它会削弱网络安全,因为当把查询流量加密之后,便无法再利用黑名单或查询数据,来判断用户是否连接到恶意网站,因而助长网络犯罪。