8. Privacy Considerations (隐私考虑)

8.1. On the Wire (传输中)

本规范允许DNS查询和响应通过加密的HTTP [RFC2818] 传输。这提供了针对被动监听器的保护,使其无法观察DNS查询和响应的内容。

然而,仅仅因为通信是加密的,并不意味着DoH客户端的隐私得到了保护。例如,如果攻击者知道DoH客户端通常只查询特定类型的域名 (例如成人娱乐网站),那么攻击者可以推断,即使无法看到查询的具体内容,客户端可能正在访问这些类型的站点。同样,某些DNS查询的大小可能会泄露正在查询的域名的信息。

DoH使用HTTPS,这使用了TLS。使用TLS通常会泄露服务器名称指示 (Server Name Indication, SNI)。这意味着,即使使用DoH,网络上的观察者仍然可以确定客户端正在与哪个DoH服务器通信。[RFC8446]的第E.3.1节讨论了这些考虑因素,包括与其他协议的交互。未来可能会有加密SNI的机制,这将提供更多的隐私保护。

DoH客户端和服务器必须 (MUST) 支持TLS 1.3 [RFC8446] 并可以 (MAY) 支持早期版本的TLS。

DoH服务器可以选择通过要求TLS客户端身份验证来识别DoH客户端。如果这样做,这可能会影响客户端的隐私。服务器还可能通过其他方式识别客户端,例如通过HTTP cookie或其他HTTP认证机制。

8.2. In the Server (在服务器中)

通过要求使用HTTPS和认证DNS服务器的身份,DoH客户端应该能够比在传统DNS中更好地控制实体有权查看其DNS查询的情况。

此外,HTTPS本身提供了对服务器的身份验证,这有助于防止DNS欺骗攻击。但是,这种保护仅在客户端正确验证服务器的TLS证书时才有效。

DoH服务器运营商应该意识到,运行DoH服务器会涉及隐私问题。DNS查询可以揭示有关用户的大量信息行为。服务器运营商应该制定适当的隐私政策,并应该考虑如何处理和存储他们接收到的数据。

DoH服务器可以选择记录所有传入的查询和响应。如果这样做,服务器运营商应该制定并发布清晰的数据保留和隐私政策。服务器还应该采取适当的措施来保护收集的数据,防止未经授权的访问。

服务器可能会选择与第三方 (如内容分发网络 (CDN) 或云服务提供商) 共享基础设施。在这种情况下,这些第三方可能也能够访问DNS查询数据。服务器运营商应该考虑这些第三方的隐私实践,并在其隐私政策中披露此类共享。

如[RFC7626]中所讨论的,DNS隐私问题很复杂。使用DoH可以提供针对某些类型攻击的保护,但它不能解决所有隐私问题。特别是,DoH服务器本身可以看到所有的DNS查询,这意味着DoH客户端必须信任他们选择的DoH服务器。客户端应该仔细选择他们使用的DoH服务器,并应该考虑使用具有明确隐私政策的服务器。

某些DoH服务器可能位于与DoH客户端不同的司法管辖区。这可能会影响客户端的隐私保护,因为不同的司法管辖区可能有不同的数据保护法律和执法要求。客户端应该意识到这些风险,并相应地选择DoH服务器。

DoH不会阻止服务器将DNS查询信息与其他信息 (如HTTP cookie或客户端IP地址) 关联起来。事实上,因为DoH在与普通HTTPS流量相同的连接上运行,所以将DNS查询与Web浏览活动关联起来可能变得更容易。这可能会增强而不是降低用户跟踪能力。

使用DoH的应用程序应该考虑这些隐私影响,并应该向用户提供关于如何使用其DNS数据的明确信息。在某些情况下,可能需要使用多个DoH服务器或定期更换DoH服务器以减少单个服务器可以收集的信息。

最后,值得注意的是,虽然DoH可以保护DNS查询免受网络路径上的观察,但它不能保护客户端的最终目的地不被观察。一旦客户端使用从DoH查询获得的IP地址连接到服务器,该连接可能仍然对网络观察者可见 (除非也使用了额外的保护措施,如VPN或Tor)。