dnspython库中HTTPS查询的证书验证问题解析

在dnspython 2.6.1版本中，发现了一个关于DNS-over-HTTPS(DoH)查询的安全性问题。当开发者使用dns.query.https方法通过IP地址直接连接DNS服务器时，系统未能正确验证服务器证书中的主机名匹配情况。

问题本质

在TLS/SSL协议中，证书验证包含两个重要部分：证书链验证和主机名验证。正常情况下，客户端应该验证服务器证书中的Subject Alternative Name(SAN)是否包含连接使用的主机名或IP地址。然而，dnspython的HTTPS查询实现在通过IP地址连接时，没有强制执行这一验证步骤。

技术细节

这个问题主要出现在dns.query.https方法的实现中。当开发者指定一个IP地址作为DNS服务器地址时，底层的httpx库没有收到明确的SNI(Server Name Indication)主机名指示，导致证书的主机名验证被跳过。

相比之下，dns.query.tls方法提供了server_hostname参数，允许开发者明确指定预期的主机名，从而确保证书验证的完整性。

安全影响

这种验证缺失可能导致中间人攻击(MITM)风险。攻击者可以：

1. 提供一个有效证书(可能是为其他域名签发的)
2. 拦截指向目标IP地址的DNS查询
3. 返回伪造的DNS响应 而客户端由于没有验证证书中的主机名信息，无法发现这种攻击。

解决方案

项目维护者已经修复了这个问题。修复方案是在底层实现中明确传递SNI主机名扩展信息，强制进行完整的主机名验证流程。

对于开发者来说，最佳实践是：

1. 尽可能使用域名而非IP地址连接DoH服务器
2. 及时升级到修复后的dnspython版本
3. 对于关键应用，考虑实现额外的验证层

总结

证书验证是加密通信安全的基础。这个案例提醒我们，在使用高级网络库时，仍需关注底层安全细节的实现。特别是当抽象层可能隐藏某些安全验证步骤时，开发者应该深入了解其工作机制，确保应用的安全边界完整无缺。