DoT是什么【域名解析安全擴展協議】

DNS over TLS（簡稱 DoT）是一項域名解析安全擴展協議，它使用 TLS 協議加密傳輸用戶和遞歸解析服務器之間的 DNS 消息，起到防止中間用戶竊聽和域名查詢隱私泄漏的作用。BrI電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

TLS 或者安全傳輸層協議是 SSL 的后繼。盡管我們常把 SSL 當成 TLS 的俗稱，但 SSL 實際上并不是什么安全協議，并迅速被 TLS 取代。你稱作的 SSL 證書實際上是一個 TLS 證書。BrI電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網
BrI電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

整個 TLS 傳輸的過程如下：BrI電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

1. TCP 三次握手
2. SSL 的 ClientHello 和 ServerHello 和對應的秘鑰交換 KeyExchange
3. Client 和 Server 互相 ChangeCipherSpec 通知進入加密模式，此時可以進入數據傳輸狀態
4. 應用數據傳輸過程
5. 應用數據傳輸完成，TCP 兩次揮手

拋開 TCP 連接和數據包文傳輸的部分，TLS 握手部分將使用 2 個 RTT。BrI電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

DNS-over-TLS 和 HTTPS 類似，使用了 TCP 853 作為傳輸端口來完成 TLS 握手，再執行普通的 DNS 請求/應答。因此在 DNS-over-TLS 的整個過程中，將使用至少 4 次 RTT，這也將導致 DNS 的查詢延時放大 4 倍。BrI電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

DNS-over-TLS 在技術上并沒有特別領先的概念，只是把相對通用的傳輸層 TLS 協議用在了 DNS 上，這樣做確實確保了數據的加密和一致性，但是對于 DNS 的性能也帶來了很大的挑戰。BrI電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網