DoT是什么【域名解析安全扩展协议】

DNS over TLS（简称 DoT）是一项域名解析安全扩展协议，它使用 TLS 协议加密传输用户和递归解析服务器之间的 DNS 消息，起到防止中间用户窃听和域名查询隐私泄漏的作用。O83电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

TLS 或者安全传输层协议是 SSL 的后继。尽管我们常把 SSL 当成 TLS 的俗称，但 SSL 实际上并不是什么安全协议，并迅速被 TLS 取代。你称作的 SSL 证书实际上是一个 TLS 证书。O83电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
O83电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

整个 TLS 传输的过程如下：O83电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

1. TCP 三次握手
2. SSL 的 ClientHello 和 ServerHello 和对应的秘钥交换 KeyExchange
3. Client 和 Server 互相 ChangeCipherSpec 通知进入加密模式，此时可以进入数据传输状态
4. 应用数据传输过程
5. 应用数据传输完成，TCP 两次挥手

抛开 TCP 连接和数据包文传输的部分，TLS 握手部分将使用 2 个 RTT。O83电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

DNS-over-TLS 和 HTTPS 类似，使用了 TCP 853 作为传输端口来完成 TLS 握手，再执行普通的 DNS 请求/应答。因此在 DNS-over-TLS 的整个过程中，将使用至少 4 次 RTT，这也将导致 DNS 的查询延时放大 4 倍。O83电脑_数码_手机应用问题解决的IT技术网站 - 云狐网

DNS-over-TLS 在技术上并没有特别领先的概念，只是把相对通用的传输层 TLS 协议用在了 DNS 上，这样做确实确保了数据的加密和一致性，但是对于 DNS 的性能也带来了很大的挑战。O83电脑_数码_手机应用问题解决的IT技术网站 - 云狐网