DNS-Over-HTTPS弊大於利？荷蘭國家網路安全中心與亞太網路資訊中心相繼提出警告

就在Mozilla與Google相繼宣布要在Firefox與Chrome瀏覽器中導人DoH（DNS-over-HTTPS）之後，外界質疑的聲浪就不曾斷過，而近日荷蘭國家網路安全中心（NCSC）與亞太網路資訊中心（APNIC）亦出面批評DoH，前者聲稱DoH將讓組織更難執行安全控制，後者則說DoH不利隱私，呼籲外界不要對DoH有著過度期待。

DoH就是傳遞網域名稱系統（DNS）解析請求時採用HTTPS加密協定，而非使用標準的明文請求，因而可以避免使用者的請求受到審查、監控或遭到竄改，標榜能夠強化使用者的隱私與安全。

不過，這些特色同樣也帶來了困擾。例如NCSC便說，那些仰賴過濾機制來進行安全監控的組織或企業，將因此失去安全控制能力，而得將網域名稱解析的任務交給第三方，可能因此造成資訊外洩，曝露組織內部的資源命名，甚至破壞內部網路的連結。

而APNIC則說明，DNS（網域名稱系統）通常是由網路的操作者所提供，可能是ISP業者、可能是電信業者、可能是企業主，或者是邪惡的公開Wi-Fi，但DoH基本上只能阻止中間人攻擊，並無法阻止DNS伺服器供應商檢視、封鎖或竄改DNS資料。

此外，APNIC指出，其實在4種情況下使用者所造訪的網站都會以明文傳輸，DNS只是其中之一，有些瀏覽器允許使用者以HTTP提出請求，再轉至HTTPS；或者是TLS經常必須以明文傳輸使用者打算連結的網站名稱；為了確保TLS傳輸是有效的，瀏覽器與TLS會執行OCSP來查找CA供應商，而此一查找內容亦為明文；且研究顯示，有95%的網站只要透過IP位址就能確認它們的身分，且IP位址無法加密。

除了NCSC與APNIC之外，ZDNet也整理了許多安全研究人員對DoH的擔憂。除了上述的DoH並無法阻止ISP業者追蹤使用者、可能破壞組織的安全監控之外，還有人認為它會削弱網路安全，因為當把查詢流量加密之後，便無法再利用黑名單或查詢資料，來判斷使用者是否連結到惡意網站，因而助長網路犯罪。