问题标签 [dns-over-https]

在通过 https 查询 DNS 时，假设用户通过安全连接获取 ip。在握手过程中，网站以明文形式共享其证书，其中包括网站名称和其他信息。除了主动嗅探之外，它会通过 https 的目的杀死 DNS 吗？

我正在尝试编写一个快速脚本，该脚本可以使用来自 CloudFlare 的新 1.1.1.1 DNS over HTTPS 公共 DNS 服务器进行 dns 查找。

在这里查看他们的文档https://developers.cloudflare.com/1.1.1.1/dns-over-https/json-format/我不确定自己做错了什么以及为什么会收到 415 状态码（415 不支持的内容类型）。

这是我的脚本：#!/usr/bin/env python import requests import json from pprint import pprint

这是输出：

对于json响应（我相信）：

使用 curl 这非常好。

非常感谢

这些 API 会返回执行 DNSSEC 验证所需的所有其他字段，并且来自 Google 和 CloudFlare 的 API 协议格式完全相同，但它们都特别省略了 DS RRSIG 字段。

为什么会这样？我想我们只是在进行 DNS 查找，但是通过 HTTPS，那么为什么要特别省略这个字段呢？

我们已经尝试联系，但没有多少运气能够深入了解它。

自从 Mozilla 和 Google 宣布，他们打算将来在默认设置中激活 DNS over HTTPS 并且 IETF 正式批准了草案（https://datatracker.ietf.org/wg/doh/about/），我试图了解对我们公司网络的影响。现在，每个应用程序都可以绕过内部 DNS 服务器（通过 DHCP 分配）并直接连接到公共 DNS 服务。管理员没有简单的方法来阻止应用程序和用户这样做，因为所有流量都是通过 HTTPS 路由的。

在我知道的大多数公司中，都有一个拆分 DNS 设置，允许内部（内部网）和外部（互联网）名称和 IP 解析相同的域名（例如mail.mycorp.example）具有不同的解析值。它还允许添加额外的、仅限 Intranet 的服务，例如wiki.intra.mycorp.example无法从 Internet 解析/访问的服务。基础设施名称也是如此，例如server01.eq.mycorp.example.

我看到的问题是，如果应用程序本身更喜欢 DNS 而不是 HTTPS，并且没有正确回退到系统分配的 DNS 服务器，则内部域将无法访问。

我在 Windows 10 上使用 Firefox 61.0.1（64 位）进行了实验。我设置了：

• network.trr.bootstrapAddress= 1.1.1.1
• network.trr.uri=https://mozilla.cloudflare-dns.com/dns-query
• network.trr.mode= 2

network.trr.mode = 2应该更喜欢 DNS 而不是 HTTPS，但如果没有收到值，则mode = 1回退到系统 DNS，我也尝试过，应该进行比赛并使用 Firefox 返回的第一个有效结果。

不幸的是，在 Firefox 中通过 HTTPS 激活 DNS 后，所有仅限内部的网站都不再工作。所有请求都以超时结束并因此失败。

我想念什么？在未来的设置中是否有更好的方法来处理仅限内部的 DNS 条目？

我正在尝试制作一个 python 脚本来测试服务器是否可以在DNS-over-HTTPS中回答。因此，我阅读了这篇文章并尝试在 python 中发出相同的请求：

这是输出

https://cloudflare-dns.com/dns-query?name=example.com&type=A

{'Access-Control-Allow-Origin': '*', 'Vary': 'Accept-Encoding', 'CF-RAY': '48b33f92aec83e4a-ZRH', 'Expect-CT': 'max-age=604800, report-uri="https://report-uri.cloudflare.com/cdn-cgi/beacon/expect-ct"', 'Date': 'Tue, 18 Dec 2018 17:11:23 GMT', 'Transfer-编码'：'分块'，'服务器'：'cloudflare'，'连接'：'keep-alive'} 400

如果我基于这里所写的内容，我的要求没有具体说明或太小。

有谁知道我在哪里弄错了？

谢谢

运行curl --doh-url https://dns-server.example.com https://www.example.com命令时， curl --doh-url 不接受IP地址吗？你不能指定https://127.0.0.1或类似的IP地址吗？也尝试使用libcurl代码执行此操作，但想指定 gcp 负载均衡器的前端 IP 地址。命令的响应也curl --doh-url只是 html 文本吗？当我打开 -v 详细标志时，我只会看到 doh dns 响应。想知道是否有另一个标志只显示 dns 响应。非常感谢！

我对这个已经在最新的 Firefox 浏览器中可用的新协议完全陌生，但我无法管理它至少在 Windows PC 中的 Chrome 浏览器上工作。现在我完全不知道把这个问题放在哪里所以请理解。

我可以通过访问网站在 Windows 中的 Firefox 或 Chrome 上自动启用 DoH 功能吗？如果不能，那么我可以创建一个批处理脚本或桌面应用程序来代替上述浏览器修补/启用 DoH 吗？

所有主要浏览器都在推出对 DNS Over HTTPS (DoH) 的支持。Firefox 最近宣布它现在默认启用。Chrome 已经支持几个月了。Microsoft Edge 浏览器（现在使用 Chromium）也通过标志系统支持它。

很自然地认为 CEF（以及 CEFSharp）也会对其提供某种支持，因为它们基本上共享相同的引擎。然而，情况似乎并非如此。

我正在尝试启用此功能几天，但没有任何运气。在网上快速搜索不会产生有用的结果——最相关的是这个。

我试过的：

我还尝试直接启用此功能（旧的 Chrome 方式）：

我正在使用这个页面进行测试，它总是在每个部分都返回“NO”。在谷歌浏览器中，这有效。

我还在使用 NuGet (79.1.36) 中提供的 1.1.1.1 DNS 和最新版本的 CEF Sharp。

那么，有没有办法在 CEF Sharp 中启用 DoH？

我刚刚被介绍到域名系统安全扩展 (DNSSEC)，它听起来与 DNS-over-HTTPS (DoH) 和 DNS-over-TLS 的概念非常相似：将隐私和安全性添加到 DNS 查找中。

这些协议之间的主要区别是什么？他们是否竞争/服务于相同的目标？

我在 https 服务器上运行我自己的 dns。我希望大多数 DNS 请求都通过它，但是来自“apple.com”、“icloud.com”域/子域的任何请求都可以绕过我的 DOH 服务器并使用手机的默认 DNS。

我创建了一个 .mobileconfig 配置文件，如下所示（我替换了 doh 服务器 url 和探测 url）：

然而，我的 DOH 服务器日志仍然显示来自 *.apple.com 和 *.icloud.com 域的大量请求。在做了一些测试之后，我无法判断它是否将它们中的任何一个列入白名单。

请参阅https://developer.apple.com/documentation/devicemanagement/dnssettings/ondemandruleselement上的文档。文档表明（DNSDomainMatch加粗）：

一组域名。如果指定列表中的任何域名与设备搜索域列表中的任何域匹配，则此规则匹配。支持单个通配符 * 前缀，但不是必需的。例如，*.example.com 和 example.com 都匹配 mydomain.example.com 和 your.domain.example.com，但不匹配 mydomain-example.com。

我玩过通配符的变体，但似乎没有什么不同。也许我误解了这一点——这是什么意思device's search domains list？

是否有另一种方法可以让我使用 mobileconfig 将特定域列入白名单？我也尝试过使用ActionParameters'sNeverConnect但它似乎也不起作用。