阿里公共DNS致力于为广大的互联网用户提供快速、稳定和安全的DNS解析。传统的DNS查询和应答采用UDP和TCP明文传输,存在网络监听、DNS劫持、中间设备干扰的风险:

  • 网络监听风险:即便用户采用HTTPS加密的方式访问站点,DNS查询应答并没有采用加密传输
  • DNS劫持:传统DNS应答数据会被篡改,用户的访问会被路由到钓鱼网站和恶意站点
  • 中间设备干扰:主要包括防火墙的拦截或篡改,针对域名的过滤,以及大包MTU分片等

为了应对以上挑战,阿里公共DNS遵守DoH(RFC8484)和DoT(RFC7858) 标准对外提供DNS的安全传输服务,支持DNS over HTTPs,DNS over TLS两种安全传输模式,以及基于 HTTP 和 HTTPS 的 DoH JSON API 接口。DNS的安全传输服务可以适用于移动应用程序、浏览器、操作系统、物联网设备,网关和路由器等多个场景。通过传输加密的方式发送DNS查询,加强了用户访问互联网的安全性、解析稳定和隐私保护。

除了隐私加密以外,用户端和DNS服务器间可以使用TCP或HTTP连接来提供安全传输服务,一方面可以服务精准的基于位置的DNS解析和流量调度,另一方面基于DNS端到端的连接特性,DNS的动态变更可以实现秒级端到端生效。

注意:在DoH和DoT传输服务中,阿里公共DNS支持 TLS 1.2 和TLS 1.3。