Hickory-DNS 中 DNS over HTTPS 功能的使用注意事项

在 Rust 生态系统中，Hickory-DNS 作为 Trust-DNS 的继任者，提供了强大的 DNS 解析功能。近期有开发者反馈在从 Trust-DNS 迁移到 Hickory-DNS 时遇到了 DNS over HTTPS (DoH) 功能失效的问题。

问题现象

开发者在使用 Hickory-DNS 0.24.1 版本时，发现原本在 Trust-DNS 中正常工作的 DNS over HTTPS 功能突然失效。具体表现为使用某知名 CDN 服务商的 HTTPS DNS 服务时，解析请求返回了 ProtoError { kind: Io(Kind(InvalidData)) } 或网络不可达的错误。

问题根源

经过分析，这个问题源于 Hickory-DNS 0.24.x 版本中一个重要的设计变更：在使用 DNS over HTTPS 功能时，必须显式指定信任的根证书来源。这与之前的 Trust-DNS 实现有所不同，也是许多开发者容易忽略的关键点。

解决方案

要解决这个问题，开发者需要在 Cargo.toml 中为 hickory-resolver 添加以下任一特性：

1. webpki-roots - 使用 WebPKI 项目提供的根证书
2. native-roots - 使用操作系统提供的根证书

正确的依赖声明应如下所示：

[dependencies]
hickory-resolver = { version = "0.24.1", features = ["dns-over-https-rustls", "webpki-roots"] }

技术背景

DNS over HTTPS 作为一种加密的 DNS 查询方式，需要建立 TLS 安全连接。TLS 连接的安全性依赖于对服务器证书的验证，而验证过程需要信任的根证书作为锚点。Hickory-DNS 为了提高灵活性和明确性，将这个选择权交给了开发者，而不是隐式地使用某种默认配置。

版本演进

在 Hickory-DNS 0.25.0-alpha.1 及后续版本中，开发团队已经改进了这个问题，使根证书来源的选择更加明确和直观。但在 0.24.x 版本中，这个要求相对隐蔽，导致不少开发者遇到类似问题。

最佳实践

1. 在使用 DNS over HTTPS 功能时，始终明确指定根证书来源
2. 考虑升级到最新版本以获得更好的开发体验
3. 在生产环境中，根据实际需求选择适合的根证书来源：
   • webpki-roots 提供跨平台一致性
   • native-roots 则与操作系统证书存储集成

通过理解这些细节，开发者可以更顺利地迁移到 Hickory-DNS 并充分利用其提供的现代 DNS 功能。