#dns_over_tls_dot — Public Fediverse posts on home.social

Why not use DNS over HTTPS (DoH)? | Hacker News

Link

Why not use DNS over HTTPS (DoH)?
https://bsdhowto.ch/why-not-use-dns-over-https-doh/

📌 Summary:
本文探討 DNS over HTTPS（DoH）技術的優缺點及隱私風險。DoH 透過將 DNS 查詢包裹在 HTTP 並使用 TLS 加密，以防止 ISP 或網路管理者窺視 DNS 流量，改善傳統 DNS 係統的安全性。然而，作者指出 DoH 實際上只是將所有查詢集中傳送給單一 DNS 服務供應商（例如 Cloudflare），造成另一種「單一窺視者」的風險，並警告使用者不應盲目相信這類商業公司會妥善保護資料。文中也比較另一種加密 DNS 技術 DNS over TLS（DoT），指出 DoT 雖然同樣加密 DNS 流量，但使用專門協定取代 HTTP，減少技術複雜度和潛在安全漏洞。討論中多位使用者提出實務經驗與看法，認為必須在效率、隱私和可信度間取得平衡，並強調最終仍需信任某個 DNS 服務供應者，建議可自行架設遞迴 DNS 或選擇值得信賴的第三方服務。文章整體反映了現代 DNS 安全挑戰與用戶對隱私保護的矛盾需求。

🎯 Key Points:
→ 【DoH 基本概念】
＊將 DNS 查詢包裹於 HTTP，並利用 TLS 加密，意圖阻擋 ISP 或惡意中間人監控查詢內容。
→ 【隱私風險】
＊將所有查詢流量送往單一 DNS 供應商（如 Cloudflare），導致「全部資訊集中於一處」，形成新的監控隱憂。
＊商業公司多數依靠資料出售賺錢，對用戶隱私保護存在利益衝突。
→ 【DoH 與 DoT 比較】
＊ DoT 由專門協定承載，較不複雜、漏洞較少，但易被 ISP 透過封鎖 853 埠幹擾。
＊ DoH 使用 HTTP 協定，使流量無法輕易被封鎖，兼具隱密性及通用性。
→ 【技術複雜度與安全性】
＊ DoH 在 DNS 伺服器端需額外整合 HTTP 模組，增加系統複雜度及潛在漏洞，相較之下 DoT 簡單且專注。
→ 【實務經驗與調整方法】
＊有人透過自行架設 DNS 遞迴伺服器並結合 DoT/DoH 實現隱私保護，花費臺幣數百元每月，獲得更高控制權。
＊使用者可在瀏覽器關閉 DoH，改回系統預設 DNS，但會失去加密保護，易受中間人攻擊。
＊目前多數瀏覽器及裝置預設啟用 DoH，部分亦支援切換不同供應商（如 Mullvad、Quad9、NextDNS）。
→ 【選擇信任對象的困境】
＊是否信任 ISP、Cloudflare 或其他 DNS 供應商，通常受地域法律、服務政策及自身需求影響。
＊使用 VPN 與私有 DNS 伺服器是降低風險的方案，但仍無法完全消除信任問題。
→ 【社羣意見與批評】
＊部分用戶認為禁用 DoH 反而降低了整體安全，因為傳統 DNS 不加密且易遭竄改或攔截。
＊另有人批評作者論述不清，將對 Cloudflare 的不信任混淆為對 DoH 協定本身的否定。
＊也有提出其他加密 DNS 解決方案，如 DNSCrypt 及 Oblivious DoH，能提升使用者匿名性。

🔖 Keywords:
#DNS_over_HTTPS_DoH #DNS_over_TLS_DoT #DNS_安全 #隱私保護 #Cloudflare