RFC 7858 - DNS over Transport Layer Security (TLS)

发布日期: 2016年5月
状态: 标准跟踪 (Standards Track)
作者: Z. Hu, L. Zhu, J. Heidemann (USC/ISI), A. Mankin (Independent), D. Wessels (Verisign Labs), P. Hoffman (ICANN)

---

摘要 (Abstract)

本文档描述了使用传输层安全协议 (Transport Layer Security, TLS) 为 DNS 提供隐私保护的方法. TLS 提供的加密消除了网络中对 DNS 查询进行窃听和路径篡改的机会, 如 RFC 7626 中所讨论的. 此外, 本文档规定了 DNS over TLS 的两种使用配置文件 (Usage Profiles), 并提供了性能考虑建议, 以最小化在 DNS 中使用 TCP 和 TLS 的开销.

本文档专注于保护存根解析器到递归解析器的流量 (stub-to-recursive traffic), 符合 DPRIVE 工作组的章程. 它不排除该协议未来应用于递归解析器到权威服务器的流量 (recursive-to-authoritative traffic).

---

目录 (Contents)

• 1. Introduction (简介)
• 2. Key Words (关键词)
• 3. Establishing and Managing DNS-over-TLS Sessions (建立和管理 DNS-over-TLS 会话)
  • 3.1 Session Initiation (会话启动)
  • 3.2 TLS Handshake and Authentication (TLS 握手和认证)
  • 3.3 Transmitting and Receiving Messages (发送和接收消息)
  • 3.4 Connection Reuse, Close, and Reestablishment (连接复用、关闭和重建)
• 4. Usage Profiles (使用配置文件)
  • 4.1 Opportunistic Privacy Profile (机会性隐私配置文件)
  • 4.2 Out-of-Band Key-Pinned Privacy Profile (带外密钥固定隐私配置文件)
• 5. Performance Considerations (性能考虑)
• 6. IANA Considerations (IANA 考虑)
• 7. Design Evolution (设计演进)
• 8. Security Considerations (安全考虑)
• 9. References (参考文献)
  • 9.1 Normative References (规范性参考文献)
  • 9.2 Informative References (信息性参考文献)

附录 (Appendices)

• Appendix A. Out-of-Band Key-Pinned Privacy Profile Example (带外密钥固定隐私配置文件示例)

---

相关资源

• 官方原文: RFC 7858
• 官方页面: RFC 7858 DataTracker
• 勘误表: RFC Editor Errata

---

本 RFC 的意义

DNS over TLS (DoT) 通过在 DNS 查询和响应中添加 TLS 加密层, 为 DNS 通信提供了关键的隐私保护:

• 隐私保护: 防止第三方窃听用户的 DNS 查询
• 完整性保护: 防止中间人篡改 DNS 响应
• 认证: 可选的服务器身份验证
• 专用端口: 使用 TCP 端口 853, 与传统 DNS (端口 53) 分离

核心技术特点:

• 使用 TLS 1.2 或更高版本
• 支持连接复用以提高性能
• 定义了两种隐私配置文件: 机会性隐私和密钥固定隐私
• 主要用于保护客户端到递归解析器的通信

相关协议:

• RFC 8484: DNS over HTTPS (DoH)
• RFC 7626: DNS Privacy Considerations
• RFC 8310: Usage Profiles for DNS over TLS and DNS over DTLS