DoT是什么

DNS over TLS（简称DoT）是一项域名解析安全扩展协议，它使用TLS协议加密传输用户和递归解析服务器之间的DNS消息，起到防止中间用户窃听和域名查询隐私泄漏的作用。

DNS over TLS（简称 DoT）是一项域名解析安全扩展协议，它使用 TLS 协议加密传输用户和递归解析服务器之间的 DNS 消息，起到防止中间用户窃听和域名查询隐私泄漏的作用。

TLS 或者安全传输层协议是 SSL 的后继。尽管我们常把 SSL 当成 TLS 的俗称，但 SSL 实际上并不是什么安全协议，并迅速被 TLS 取代。你称作的 SSL 证书实际上是一个 TLS 证书。

整个 TLS 传输的过程如下：

1. TCP 三次握手
2. SSL 的 ClientHello 和 ServerHello 和对应的秘钥交换 KeyExchange
3. Client 和 Server 互相 ChangeCipherSpec 通知进入加密模式，此时可以进入数据传输状态
4. 应用数据传输过程
5. 应用数据传输完成，TCP 两次挥手

抛开 TCP 连接和数据包文传输的部分，TLS 握手部分将使用 2 个 RTT。

DNS-over-TLS 和 HTTPS 类似，使用了 TCP 853 作为传输端口来完成 TLS 握手，再执行普通的 DNS 请求/应答。因此在 DNS-over-TLS 的整个过程中，将使用至少 4 次 RTT，这也将导致 DNS 的查询延时放大 4 倍。

DNS-over-TLS 在技术上并没有特别领先的概念，只是把相对通用的传输层 TLS 协议用在了 DNS 上，这样做确实确保了数据的加密和一致性，但是对于 DNS 的性能也带来了很大的挑战。