什么是DNS over HTTPS？

典型的DNS缓存服务器，它缓存了用户曾经通过它请求的域名-IP对应信息，这类服务器被称为非权威域名服务器，它向用户返回的都是经过缓存的IP信息，其中就有可能存在被恶意篡改的域名-IP对，使用这台缓存服务器的所有用户在查询特定域名时都将得到错误的结果，这就是缓存投毒。

以上只是两个常见的DNS协议自身设计缺陷，它的这些缺陷主要存在于安全性方面，而利用这些缺陷，ISP可以通过域名劫持做到在网页上面插入广告，攻击者可以对用户进行DNS欺骗将用户发送的网络请求引向假的服务器以获得用户数据。而DNS协议存在的另一个缺陷就是它是用明文进行传输的，只要有心人对你的53端口进行监听，他们就可以轻而易举地知道你访问了哪些网站。

但是DNS协议作为当今互联网的基石之一，不可能轻易地用一种新的协议去取代它，只能用其他手段在DNS协议外面进行防护，提高它的安全性和私密性。从这个思路出发，人们提出了几种方案，首先是1997年提出的DNSSEC。

从DNSSEC到DNS over HTTPS

很早就有但是没完全普及的DNSSEC

DNSSEC为原本的DNS协议引入了一个数字签名验证机制，它在DNS请求包的头部加入了一段数字签名，通过现代的数字证书验证体系保证DNS查询结果的正确性，或者用信息安全的话来说，就是保证了DNS查询结果的完整性。

DNSSEC在1997年提出，发展至今已经非常成熟了，很多公共域名服务器都支持它。但是DNSSEC只解决了DNS协议的安全性问题，它没有对DNS查询内容进行加密，别人还是很容易就可以看到你访问的网站。

没有标准化的DNSCrypt

于是，又有新的选手站了出来。这次上台的是DNSCrypt，名字里面都带Crypt了那它肯定是有加密的，是的，它对DNS查询过程做了完整的加密，可以做到查询结果没有问题，别人也看不到你查询了什么域名。

（编辑：济源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!