Android设备将迎来安全DNS查询的重大提升

重点概述

Android 11及以上版本的设备将通过提供DNS-over-
HTTP/3（DoH3）来实现安全DNS查询的服务改进，DoH3是对当前用户体验的一种更高效的替代方案。与已有的DNS-over-TLS（DoT）和DNS-
over-HTTPS（DoH）相比，DoH3大幅提升了查询效率。

DNS（域名系统）是将像 “”
这样的Web域名转换为可路由的数字IP地址的服务。最初，这些DNS请求以明文形式传输，这使得它们容易被监视，互联网服务提供商通过用户访问的网站来量身定制广告，这也让它们容易遭受中间人攻击。加密DNS请求可以有效地避免这些隐私和安全问题。

DoH3的优势

特性 | DNS-over-TLS (DoT) | DNS-over-HTTPS (DoH) | DNS-over-HTTP/3 (DoH3)
—|—|—|—
传输方式 | 单一流 | 单一流 | 多流
效率 | 较低 | 中等 | 较高
对中断的容忍度 | 低 | 中 | 高

Mozilla、Cloudflare 和 Google等组织均开发了采用TLS或HTTPS加密的替代DNS系统，它们通常被认为是有效的解决方案。然而，这两者在效率上存在一定的成本。DoH3减少了这些开销。

根据Google的测试，详细信息在，DoH3在中位查询时间上比DoT减少了24%，在95百分位的测试中，甚至可以减少多达47%。这种效率的差异来自于几个方面。DoT要求所有请求按顺序在单一流中执行。如果队列前面的请求出现延迟，可能会导致拥堵。而DoH3则将每个请求放在自己的流中。此外，DoT对连接中断或变化网络的耐受性也较低。

加密DNS的争议

任何形式的——或任何形式的加密，都会引发争议。DoH使得互联网服务提供商更难筛查企图访问儿童剥削材料的人——实际上是一种中间人攻击的积极用法。此外，这也可能使某些网络防御工具的工作变得更加困难。然而，这对于通过电信运营商访问互联网的移动Android设备而言，可能不是一个大问题。

Google表示，DoH3对所有Android 11及以上版本的设备已经适用，并适用于某些早期采用Play商店更新的设备。