谷歌近期宣布其 DNS Over HTTPS(DoH)服务正式普遍可用,并且完全支持RFC 8484 文档。谷歌于 2009 年推出 Google Public DNS,并于 2016 年在此基础上推出 DNS Over HTTPS,这是一项实验性服务,旨在加强 DNS 的安全性,此前的服务入口是 dns.google.com/experimental。
现在谷歌宣布 DoH 已经正式普遍可用,并且完全支持 RFC 8484 文档,同时继续提供对2016 年推出的 JSON API 的支持。用户可以使用 dns.google 域中的 DoH 解析 DNS,其中包含与常规 DNS 服务相同的任播地址,如 8.8.8.8。新的访问入口是:
https://dns.google/dns-query (RFC 8484 –GET and POST)
https://dns.google/resolve (JSON API– GET)
谷歌还表示其正在弃用此前的 /experimental URL 路径和dns.google.com 的互联网草案 DoH 支持,并将在几个月内结束对它们的支持。“借助 Google Public DNS,我们致力于通过 DoH 和 DNS over TLS(DoT)提供快速、私密和安全的 DNS 解析”,谷歌介绍:“我们计划支持 JSON API,直到有一个类似于 webapp 友好的 DoH 标准。”
对于开发者来说,要使用 GA 版本的 DoH 服务,需要配置其应用以使用新的 DoH 访问入口并正确处理 HTTP 4xx 错误和 3xx 重定向状态代码,具体如下:
应用需要使用 dns.google 而不是 dns.google.com。可以直接在 Google Public DNS 地址中查询dns.google,而不需要另外的 DNS 查询。
使用旧版 /experimental 互联网草案 DoH API 的开发人员需要切换到新的 /dns-query URL 路径并确认完整的 RFC 8484 合规性。较旧的 API 使用 DoH 标准的早期草稿中的功能接受查询,这些功能被新 API 拒绝。
使用 JSON API 的开发人员可以使用两个新的 GET 参数,这些参数可用于 DNS/DoH 代理或 DNSSEC 感知应用。
具体技术细节可以查看DoH 文档,谷歌完整公告查看:
https://security.googleblog.com/2019/06/google-public-dns-over-https-doh.html
