本文作者：PETER LAI，是Diode的區塊鏈工程師。在進入軟件開發領域之前，他主要是在做工商管理相關工作。Peter Lai也是一位活躍的開源貢獻者。目前，他正在與Diode團隊一起開發基於區塊鏈的分散式PKI（DPKI）。

下面是文章的完整內容：

上個月，英國互聯網服務提供商行業協會提名Mozilla獲得今年互聯網惡棍獎，因為Mozilla計劃支持DNS-over-HTTPS，繞過英國過濾義務和家長控制規定，從而破壞英國的互聯網規範。

在Diode 公司，我們認為Mozilla 的DNS-over-HTTPS 是增強最終用戶隱私保護的一個好舉措。但它卻不是保護開放互聯網的最佳選擇，因為DNS-over-HTTPS 至少目前是由CloudFlare 和Google 控制的。而我們建議的是使用“DNS-on-Blockchain”，這是安全，隱私保護和分散式DNS的替代方案。

什麼是DNS？

DNS  是連接到Internet或專用網絡計算機，服務或其他資源的分層和聯合命名系統。根據  RFC 1035  定義，DNS的目標是提供一種命名資源的機制，使名稱可以在不同的主機、網絡、協議、互聯網和管理組織中使用。它是一組將各種信息與域名（如IP地址）相關聯的標準。

使用DNS 服務器，我們不必記住連接到網站的IP地址。在瀏覽器中輸入網站域名時，會自動向DNS服務器發送請求。DNS服務器查找域並返回IP地址，以便您的瀏覽器知道連接到哪裡。

但這是問題所在。DNS數據包未加密，當您向DNS服務器發送請求時，不僅DNS服務器知道您的請求以及您要訪問的網站，還有路由中的其他所有人。在咖啡店，這可能是同一商店中的其他人、店主、互聯網服務提供商或任何間諜網絡流量的黑客。這就是創建DNS-over-HTTPS的原因。

什麼是DNS-over-HTTPS？

DNS-over-HTTPS（簡稱DoH）是一種通過安全加密的HTTPS協議解析DNS請求的協議。該方法的目標是通過防止通過中間人操縱DNS數據來防止竊聽並增加安全性來增加用戶隱私。

使用DNS-over-HTTPS，當您在瀏覽器中輸入網站的域名時，可以將加密的HTTPS請求發送到支持DoH的DNS服務器。HTTPS協議僅在處理DNS請求的DNS服務器上解密，並且回复再次發送回加密。你不必擔心有人在監視你。但這並不十分完美，原因如下：

DNS-over-HTTPS 的問題

與DNS當前的隱私狀態一樣糟糕，它是一個非常好的聯邦系統。有數千個獨立的DNS服務器一起支持互聯網。另一方面，當您使用DNS-over-HTTPS時，您的數據會被發送到Google或Cloudflare。這是從聯邦基礎設施到集中式基礎設施的巨大退步。他們的DoH服務器仍然可以確切地知道您提出的DNS請求以及您要連接的位置。我們都知道與第三方共享過多數據是危險的，這些大公司可能會記錄您的DNS查詢歷史記錄，將其與您的其他個人數據相匹配或將查詢歷史記錄出售給第三方。

本月早些時候，Cloudflare 的服務器因為更新程序而宕機，原因是新代碼消耗了大量的CPU資源。由於許多網站都在使用Cloudflare 的服務，這導致很多大的網站受此次宕機的影響。Cloudflare 最近發生的事件是單點故障（SPOF）的一個直觀例子。如果DoH 服務器是集中式的並且出了問題，將會導致您將無法正常上網。這顯示了圍繞少數運營商集中化的另一種風險。

最後，加密DNS 流量確實解決了隱私問題，但它並不能確保我們收到的數據是正確的。PKI或公鑰基礎設施是一個集中的根安全基礎設施，可以加密幾乎所有當今的互聯網流量。這也是是HTTPS背後的安全基礎支持。如果攻擊者設法竊取HTTPS服務器的證書，他可以冒充服務器，讀取所有流量，甚至向客戶端發送虛假的DNS請求結果。

區塊鏈上的DNS

DNS-over-HTTPS的核心問題是中央組織，並且缺少對我們收到的數據的驗證。這個中央基礎設施正成為安全的單點故障（SPOF），也是一些隱私的噩夢，一些大公司越來越多地了解我們。在  Diode，我們認為分散式區塊鏈基礎設施是DNS的完美平台。我們認為分散的PKI和分散的DNS是互聯網的未來。當您上網時，您不必擔心會有人監視您，並且可以確保您收到的數據有效且真實。

在分散式DNS中，諸如“gitee.com”之類的域的所有者將他/她的加密簽名存儲在公共區塊鏈中。那麼任何的Web瀏覽器，手機 App和物聯網設備就可以檢查相應的區塊鏈條目並找到正確的簽名。此方案允許域所有者自行管理其域，並且無需聯繫中央組織來獲取證書。這是一種完全分佈式的DNS請求服務，因為每個區塊鏈服務器都可以提供DNS數據。

這項新技術主要來源於區塊鏈愛好者。比特幣創建了分佈式的賬本，不受任何單個實體的控制，但隨著參與者的增多而變得更強。以太坊帶來了智能合約以及在區塊鏈上存儲任意結構化數據的能力。而  Namecoin  和  Ethereum Name System  是在把域名解析到Blockchain的首次嘗試。在  Diode，我們正在進行下一步的研究工作，就是將PKI和DNS轉移到區塊鏈中，並且選擇性地允許最小的設備（如微控制器）安全地連接到區塊鏈。

在Firefox 中啟用DNS-over-HTTPS

在DNS-on-Blockchain（DoB）可用之前，您至少應該先升級到DoH 以保護您的隱私。如果您使用的是Firefox，它已經內置了DNS-over-HTTPS（DoH） – 但默認情況下已禁用！您只需按照以下步驟操作打開即可：

步驟1：在Firefox菜單並選擇“首選項”，或者您可以在搜索欄中鍵入about:preferences。

步驟2：在“常規”部分，轉到“網絡設置”面板，然後單擊“設置”按鈕。

步驟3：在彈出窗口中，向下滾動並選中“通過HTTPS啟用DNS”。您可以設置其他DoH提供程序或使用Cloudflare（默認）。Mozilla制定了強有力的Trusted Recursive Resolver（TRR）政策，禁止DoH合作夥伴收集個人識別信息。

至於DNS on Blockchain 還得再等等:)