dns记录里的https记录有什么用，格式该怎么写？

theccz

看到dnspod里多了个https记录，不过说明有点莫名其妙，感觉没搞懂。这玩意是直接在dns阶段声明网站支持https来加速解析性能的吗？

久治明千树汐

HTTPS 记录是一种特殊的 SVCB 记录，是很新的草案，如果对一个域名设置了 HTTPS 记录，就表明该域名支持 HTTPS 访问，在某种意义上，这等同于 HSTS 的效果，不过不需要嵌入浏览器，是客户端主动查询的。

它可以指定需要 HTTPS 访问的端口（意味着你可以在同一个子域名的不同端口分别使用 HTTP 和 HTTPS 而不出现问题）。

这是 IETF 草案的具体内容：
https://datatracker.ietf.org/doc/html/draft-ietf-dnsop-svcb-https-11

rttw

写两个示例吧：

1. 1 xxx.xx.cdn.dnsv1.com alpn="h3,h3-29,h2" port=443

复制代码

1:区分0和其他,有两个模式，具体没搞懂，一般都是1，优先级为 0 时，表示别名模式（AliasMode）优先级不为 0 时，表示服务模式（ServiceMode）
xxx.xx.cdn.dnsv1.com：所指向的目标域名，有点CNAME的味道了，没有就写点，但是写点后一定要写ipv4hint或者（和）ipv6hint。
alpn：服务器支持的协议
port：服务端口

1. 1 . alpn="h3,h3-29,h2" ipv4hint=104.26.14.53,104.26.15.53,172.67.70.22 ipv6hint=2606:4700:20::681a:e35,2606:4700:20::681a:f35,2606:4700:20::ac43:4616

复制代码

这是另一个示例：
ipv4hint：直接告诉客户端IPv4地址，客户端不再请求目标域名获取IPv4地址
ipv6hint：直接告诉客户端IPv6地址，客户端不再请求目标域名获取IPv6地址

Ikex

前几天刚琢磨这个东西。这东西的浏览器支持很奇特，首先网上没有找到有地方统计，有提一嘴的都是错的。然后我自己测试统计是 Safari 14+，Firefox（疑似）92+，Chromium 目前只支持没啥大用的部分。和一般 Chromium->Firefox->Safari 的跟进顺序正好相反。

和 CNAME 相似，但是 CNAME 按定义是将所有记录导向目标域名，一个域名有了 CNAME 记录按照标准就不能有 MX 之类别的记录了。HTTPS 记录按定义只涉及使用 HTTPS 协议的解析。等各浏览器客户端都落地支持后，CDN 以后主流可能就不是 CNAME 而是 HTTPS 接入了。

另外他还可以针对不同 Alpn 分别解析、指定端口、加密 Client Hello，可能未来对爬墙有帮助。

iks

1. >dig type65 iks.moe @223.5.5.5
   
2. 
   
3. ; <<>> DiG 9.16.23 <<>> type65 iks.moe @223.5.5.5
   
4. ;; global options: +cmd
   
5. ;; Got answer:
   
6. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9363
   
7. ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
   
8. 
   
9. ;; OPT PSEUDOSECTION:
   
10. ; EDNS: version: 0, flags:; udp: 1408
    
11. ;; QUESTION SECTION:
    
12. ;iks.moe.                       IN      HTTPS
    
13. 
    
14. ;; ANSWER SECTION:
    
15. iks.moe.                600     IN      HTTPS   1 . alpn="h2" ipv4hint=75.2.60.5,99.83.231.61
    
16. 
    
17. ;; Query time: 20 msec
    
18. ;; SERVER: 223.5.5.5#53(223.5.5.5)
    
19. ;; WHEN: Mon Feb 20 23:17:03 ;; MSG SIZE  rcvd: 70

复制代码

rttw

Ikex 发表于 2023-2-21 00:23
前几天刚琢磨这个东西。这东西的浏览器支持很奇特，首先网上没有找到有地方统计，有提一嘴的都是错的。然后 ...

这个记录类型实际大规模应用的只有苹果，严格来说还处于实验阶段

Ikex

rttw 发表于 2023-2-21 08:41
写两个示例吧：

1:区分0和其他,有两个模式，具体没搞懂，一般都是1，优先级为 0 时，表示别名模式（AliasM ...

别名模式下后边的参数应为空（不过 DNSPod 目前会误报说格式不对，可以用 API 绕过），有也会被忽略，实际应用的参数会从所指向的目标域名取得。

两种模式有指向目标域名时目标域名后边也要跟一个点，比如

1. 1 xxx.example.com. alpn=h2

复制代码

别名模式下用单个点时表示服务不可用，但是客户端允许尝试通过其他方式如一般的 A/AAAA 解析进行连接。服务模式下用单个点表示自己，此时也不一定要写 ipv4hint 或/和 ipv6hint，标准没有这个要求，这两个参数只是可选的用于加速解析的，没有这两个记录时会使用 A/AAAA 记录，有这两记录的时候也可能使用 A/AAAA 记录。

rttw

Ikex 发表于 2023-2-21 13:30
别名模式下后边的参数应为空（不过 DNSPod 目前会误报说格式不对，可以用 API 绕过），有也会被忽略，实 ...

确实，不过现阶段来看配置这玩意目的就是优化域名在苹果客户端的解析，所以提示符还是配置下比较好，不过就在高版本的dig上实验来看，不管你没配置ipvxhint，递归会把目标域名A/AAAA一起返回，不需要再次查询

补张没配置IPvxhint的图：

Ikex

rttw 发表于 2023-2-21 14:02
确实，不过现阶段来看配置这玩意目的就是优化域名在苹果客户端的解析，所以提示符还是配置下比较好，不过 ...

确实。刚才又看了下标准，对于单个点的目标域名，不仅不要求加 hint，还建议在客户端都合规时不加，因为没用。我看 Cloudflare 加了，估计一些老版本客户端没有完全按标准解析，对于这些可能有一定加速效果吧。比如 Firefox，我看他们是一小步一小步跟进该草案的，有很多性能优化还没合并，可能就包括这个。估计老版本的 Safari 也有这个问题。

大腿

这个对 dns 劫持有没有影响