服务器
DNS - over - HTTPS(DoH)属于一种借助HTTPS协议对DNS查询进行加密的技术,其目的在于提升用户的隐私性与安全性。不过,DoH无法彻底抵御SNI(
服务器名称指示)阻断。SNI(
服务器名称指示)是TLS协议的一个扩展项,它让
客户端在TLS握手的初期就能够指出想要连接的特定域名。如此一来,
服务器便能在同一个IP地址上存放多个HTTPS网站,各个网站使用单独的SSL/TLS证书,这就增强了Web托管的灵活性与效率。但因为SNI信息是明文传递的,所以它也可能被用于网络审查,从而引发一些隐私与访问方面的问题。DNS - over - HTTPS(DoH)尽管能够加密DNS查询并且防止DNS劫持,可是它不能直接对抗SNI阻断,原因是在TLS握手流程里SNI信息依旧是明文传输的。DoH主要是保护DNS查询方面的隐私,而SNI阻断发生在建立加密连接的较晚阶段。为了处理SNI阻断的情况,已经出现了一些技术:
