深度解读美国《联邦零信任战略》(二)：DNS安全
2024年1月29日

美国联邦政府在两年前发布了《联邦零信任战略》，笔者当时专门写了解读文章-深度解读美国《联邦零信任战略》(一)：网站安全，建议读者在读这篇文章之前先读一下第一个解读，重点解读了HTTPS加密。本篇为第二个解读：DNS安全。

一、 解读《联邦零信任战略》中对DNS安全的要求

先看看《联邦零信任战略》是如何要求联邦政府机构加强DNS流量安全的-加密DNS流量：联邦政府机构使用的DNS服务必须采用加密DNS协议(DNS-over-HTTPS 或 DNS-over-TLS），并且必须使用加密协议与上游DNS通信，政府机构必须启用加密DNS以支持各种应用软件(如浏览器、管理软件)、操作系统级的加密DNS应用。这项任务必须在2024年财年完成。

相信大家看了这个要求，一定会感觉非常简单明了，一目了然，明明白白。那么，美国《联邦零信任战略》为何要出台这个强制政策呢？本文第二部分将详细讲解DNS和加密DNS的来龙去脉。

二、 什么是DNS？什么是加密DNS？

什么是DNS？浏览器在使用HTTP或HTTPS访问网站时首先必须访问一个IP地址查询服务获得网站域名的IP地址，才能正常从这个网站获取网站内容，这个IP地址查询服务就是DNS服务。也就是说：我们日常上网一刻也离不开DNS服务，所以DNS安全至关重要，DNS是IT可靠运营的基础，DNS数据必须保护以免遭遇非法窃取和篡改。但是传统的DNS安全一般指DNS服务器的攻击防护，并没有更多的考虑到DNS数据的传输安全。

DNS域名系统在1983年诞生时同后来诞生的HTTP服务一样都是明文传输协议，浏览器在查询DNS服务的DNS数据包是以明文方式在互联网上传输，任何人都可以查看甚至非常容易篡改这些域名解析数据(DNS劫持)，这不仅仅影响到用户是否能访问正确的网站，而且非常容易泄露用户的互联网访问记录而泄露用户隐私。很遗憾的是，目前用户上网使用的DNS查询服务在DNS服务诞生40年后的今天仍然几乎100%都是明文传输，而比DNS协议还要晚6年的HTTP协议已经实现了全球90%以上流量的加密。那为何就没有实现DNS加密？

早在1999年就诞生了DNS加密技术-DNSSEC (Domain Name System Security Extension, 域名系统安全扩展），但该技术的侧重点在于保证DNS响应的完整性（防止攻击者篡改响应内容），而非对DNS查询数据的传输进行加密。DNSSEC虽然使用了数字签名技术来保证DNS数据的完整性，但是其缺陷是密钥管理太复杂，导致了这项技术并没有得到普及应用。DNSSEC技术的缺陷可以简单地理解为其加密机制并没有利用完善的PKI体系，而是采用了很难管理的自签密钥实现DNS数据的数字签名。

随着HTTPS加密技术的普及应用，这个技术也就自然而然地用于保护DNS数据的传输安全，因为HTTPS是一个非常成熟的加密传输技术，可以高效地解决DNS数据的明文传输难题。这就是《联邦零信任战略》推荐的两个加密DNS技术：DNS-over-HTTPS (DoH) 和DNS-over-TLS (DoT) 技术，这两个DNS加密技术都已经成为RFC国际标准，都是基于成熟的PKI密码体系的SSL证书实现DNS数据的传输加密。DoH和DoT技术的不同点是前者基于非常成熟的HTTPS加密通道来加密DNS数据，而后者则采用了一个专用端口853和通过UDP协议实现TLS/SSL加密。

那么，DoH和DoT两个加密DNS技术到底哪个更好呢？用户应该选择哪个技术来保护DNS安全？从网络安全的角度来看，DoT技术由于使用了特定端口使得网络管理员能够监视和阻止 DNS 查询，这对于识别和阻止恶意流量非常重要。而DoH查询则隐藏在常规 HTTPS 流量中，这意味着，无法阻止恶意DNS流量。但是，从隐私保护角度来看，DoH可以说是更好的技术。使用 DoH 时，DNS 查询隐藏在HTTPS 流量，这虽然削弱了网络管理员的可见性，但增强了用户的隐私性。笔者倾向于使用DoH技术，因为它采用HTTPS加密技术，使得浏览器可以非常容易地集成DoH服务，也使得用于自动化证书管理HTTPS加密的各种解决方案都不用改造地支持加密DNS的自动化证书管理，这非常重要，特别是SSL证书的有效期即将缩短为90天后，自动化证书管理确保了加密DNS服务的持续不间断提供服务。

三、零信技术DNS加密解决方案

零信技术提供HTTPS加密自动化解决方案，而加密DNS是HTTPS加密上网的开始，只有先实现了DNS加密，再加上HTTPS加密，才真正实现了用户上网的全程加密安全，才能真正保护用户数据安全和保障互联网安全。DNS加密和HTTPS加密缺一不可，这就是为何零信 国密HTTPS加密自动化网关 在最近的升级版本中集成了加密DNS服务，基于开源Bind 9 DNS服务系统，实现了自动化为DoH服务配置双算法SSL证书，同时自动化实现了国密HTTPS加密和国密DNS加密(SM2 DoH)，为用户提供一站式HTTPS加密和DoH加密DNS服务，这是零信技术DNS加密解决方案之一。

零信技术DNS加密解决方案之二就是零信浏览器支持DoH/DoT加密DNS服务，用户可以在“使用安全DNS”菜单启用加密DNS 服务，为用户上网浏览提供DNS加密服务，有力保障用户的上网隐私安全。零信浏览器今天发布了升级版本，在开源Chromium默认内置4个全球知名的加密DNS服务基础上增加了国内4个国内知名的加密DNS服务，推荐大家选用腾讯国密加密DNS服务-TencentDNS(SM2)，这是目前笔者发现的唯一一个采用国密算法实现的加密DNS服务(DoH)，选用此国密加密DNS服务后，零信浏览器会自动采用国密算法加密DNS信息，实现国密DNS加密和国密HTTPS加密的全程上网安全国密保护。

四、安全上网从使用加密DNS开始

从用户在浏览器地址栏输入网站域名开始，DNS解析器就开始了从域名到IP地址的翻译工作，并把查到的IP地址通过HTTPS加密通道返回给浏览器，浏览器就可以访问网站获取网站内容了。从这个加密DNS服务的工作原理可以看出：加密DNS服务实现了DNS数据查询的全程加密保护，这是保护用户上网隐私安全和信息安全的重要技术手段。而保障我国用户的上网安全，则必须采用国密算法来加密DNS，采用国密SSL证书实现国密DoH/DoT加密DNS服务。

美国《联邦零信任战略》要求联邦政府机构使用的DNS服务必须采用加密 DNS 协议(DoH或DoT)，这就是对传统的明文DNS的零信任，只信任加密DNS，这非常值得我国政府机构学习与借鉴。我国《密码法》和《商用密码管理条例》要求所有关键信息基础设施必须采用商用密码来保障其网络安全，这就是要求采用国密DoH或国密DoT技术来保障我国关键信息基础设施系统的DNS安全，这非常值得我国所有关键信息基础设施单位高度重视和尽快普及应用国密加密DNS。

零信浏览器不仅支持国密HTTPS加密，而且支持国密DNS加密服务，有效保障了用户的上网安全和隐私保护。零信国密HTTPS加密自动化网关集成了加密DNS服务模块，实现了加密DNS的自动化，为用户提供了一站式DNS加密和HTTPS加密自动化解决方案。欢迎免费体验零信浏览器和优先选用零信国密HTTPS加密自动化网关。

有诗为证：