通过传输层安全协议 (TLS) 执行 DNS

简介

传统的 DNS 查询和响应在未加密的情况下通过 UDP 或 TCP 发送。这样做容易受到窃听和仿冒(包括基于 DNS 的互联网过滤)。递归解析器对客户端的响应最容易受到意外或恶意更改的侵害,而递归解析器与权威域名服务器之间的通信通常包含额外的保护

为了解决这些问题,Google 公共 DNS 通过 RFC 7858 指定的 TLS 加密 TCP 连接提供 DNS 解析。基于 TLS 的 DNS 可提升客户端和解析器之间的隐私性和安全性。这对 DNSSEC 起到了补充作用,并保护经过 DNSSEC 验证的结果在发送到客户端的过程中不会被修改或仿冒。

工作原理