HTTPS 上的 DNS：为什么浏览器要加密 DNS、谁讨厌它以及为什么

通过 HTTPS 的 DNS 解决问题

每次您访问网站时，您的计算机都会询问 DNS 服务器“example.com 的 IP 地址是什么？”传统 DNS 通过 UDP 端口 53 以明文形式发送该问题。您的设备和 DNS 服务器之间网络上的任何人（您的家庭路由器、咖啡店 Wi-Fi、您的 ISP、机场网络）都可以读取它。他们以明文形式实时了解您查找的每个域。

明文 DNS 问题持续了 35 年以上，原因非常简单：没有人的产品优先解决这个问题。操作系统不会重新设计它们的解析器。互联网服务提供商从知名度中获利。标准机构未能就路径达成一致。加密 DNS 提案已经存在（2010 年的 DNSCurve，2016 年的 DNS-over-TLS），但采用率仍停留在个位数。

DNS over HTTPS，于 2018 年 10 月标准化为 RFC 8484，通过搭载 HTTPS 打破了僵局。 DNS 查询被封装在 MIME 类型 application/dns-message 的 HTTPS 有效负载中，发送到端口 443 上的 DoH 解析器。对于中间的网络，您的 DNS 流量现在看起来与普通 Web 浏览相同 - 已加密，与任何其他 HTTPS 请求没有区别。

DoH 与 DoT 与 DoQ

三种加密 DNS 标准存在：

• DNS over HTTPS (DoH) — RFC 8484，2018 年 10 月。在端口 443 上运行，与 HTTPS 没有区别。最广泛部署用于浏览器和消费者使用。
• DNS over TLS (DoT) — RFC 7858，2016 年 5 月。在专用端口 (853) 上运行。企业网络更容易检查或封锁；在 Android 和 Linux 上的操作系统级别上更广泛地部署。
• DNS over QUIC (DoQ) — RFC 9250，2022 年 5 月。在 QUIC 上运行（HTTP/3 协议所基于）。延迟比 DoH 低，因为没有 TCP 握手，但更新且支持范围较小。

对于浏览器上的普通用户来说，区别是学术上的 - DoH 和 DoT 都可以防止您的 DNS 被窥探。对于限制性网络来说，DoH 更难阻止，因为阻止它意味着阻止所有 HTTPS。 DoT 更易于管理，因为 IT 团队可以将选择性策略应用于端口 853.

主要的 DoH 解析器

• Cloudflare 1.1.1.1 — 迄今为止使用最广泛的。公开承诺绝不出售DNS查询数据，定期进行第三方审计（毕马威）。端点：https://cloudflare-dns.com/dns-query.
• Google 公共 DNS 8.8.8.8 — 大、快，但 Google。如果您信任 Google 的搜索历史记录，那么 DNS 的作用就很小。如果不这样做，它会添加另一个数据点。
• Quad9 9.9.9.9 — 瑞士非营利组织，作为服务的一部分阻止对已知恶意域的查询。端点：https://dns.quad9.net/dns-query.
• NextDNS — 每个帐户可配置；您可以设置阻止列表、允许列表、家长控制、分析。最灵活，但需要注册。
• Mullvad DNS — 匿名、无需帐户、可选广告和跟踪器拦截。最适合已经使用 Mulvad 进行 VPN 的用户。
• Cleanbrowsing — 内容过滤（无恶意软件，家庭安全）。家庭安全的 DoH 端点对路由器很有用。

浏览器如何发布 DoH

• Firefox — 第一个在 2020 年 2 月为美国用户默认启用 DoH 的主要浏览器。默认使用 Cloudflare（这在英国引发了很多争议）。您可以通过设置进行切换或禁用。
• Chrome — 2020 年 5 月提供安全 DNS。默认情况下，仅当您已配置的系统 DNS 提供商具有已知的 DoH 端点时，才会升级到 DoH。通过设置，您可以强制使用特定的提供程序。
• Edge — 与 Chrome 相同型号（均为 Chromium）。
• Brave — 默认情况下使用 Cloudflare 启用 DoH。
• Safari — 依赖于操作系统解析器设置；遵循 macOS / iOS 加密 DNS 配置。

OS 级别 DoH

• Windows 11 — 系统 DNS 设置中支持 DoH，可根据网络适配器进行配置。
• macOS 11+ 和 iOS 14+ — 通过配置文件支持加密 DNS （卫生部和运输部）。 MDM 管理的设备可以推送强制配置文件。
• Android 9+ — 系统网络选项中的“私有 DNS”设置。默认讲 DoT； Android 11+ 添加了 DoH3 支持。
• Linux — 通过 systemd-resolved (DoT)、dnscrypt-proxy (DoH/DoT/DNSCrypt) 或 Stubby (DoT) 支持。

如果您的操作系统配置为 DoH/DoT，则无需在浏览器中进行配置— 除非明确覆盖，否则将使用系统 DNS。

批评

DoH 受到了强烈的批评。争论分为三个阵营：

ISP 和内容过滤提供商

英国互联网服务提供商协会 (ISPA) 曾短暂提名 Mozilla 为 2019 年推动 DoH 的“互联网恶棍”。投诉：法律要求许多英国 ISP 屏蔽某些域名（互联网观察基金会虐待儿童名单、法院下令的盗版禁令）。这些块通常在 DNS 层实现，DoH 通过直接向 Cloudflare 发送查询来绕过它们。在 Mozilla 反击后，ISPA 随后道歉并撤回了提名，但潜在的紧张局势是真实存在的。

企业安全团队

企业网络通常将 DNS 检查作为第一道防线 - 恶意软件命令和控制流量几乎总是从 DNS 查找开始。 DoH 绕过内部 DNS，将查询发送到安全团队看不到的外部解析器。 NSA 于 2021 年 1 月发布了指南，建议企业运行自己的 DoH 基础设施并阻止外部 DoH 端点。大多数企业安全产品现在默认执行此操作。

家长控制和教育网络

许多基于 DNS 的家长控制（NextDNS、OpenDNS Family Shield、ISP“安全浏览”服务）通过拦截成人内容域的 DNS 来工作。 DoH 绕过了这些，这就是为什么大多数家长控制产品现在也阻止已知的 DoH 端点，以强制回退到已过滤的 DNS。

恶意软件角度

2019 Godlua 木马和几个后续恶意软件系列使用 DoH 来隐藏其命令和控制通信。明文 DNS 会被网络安全检测到； DoH 使 C2 与任何其他 HTTPS 请求无法区分。这是任何隐私改进技术的可预见的缺点：它改善了每个人的隐私，包括不良行为者。

Oblivious DoH (ODoH)

Standard DoH 仍然告诉解析器谁在询问。 Cloudflare 1.1.1.1 知道您的 IP 对 example.com 进行了查询。他们可信地承诺不记录它，但需要信任。

Oblivious DoH（RFC 9230，2022 年 6 月）通过在您和解析器之间插入代理来解决此问题。代理看到您的 IP，但看不到查询（已加密到解析器）。解析器看到查询，但看不到您的 IP。脱钩后，双方都无法建立个人资料，除非他们串通一气。 Cloudflare 和 Apple 已提供 ODoH 支持；采用仍然是利基市场。

DoH 不做的事情

• 它不会隐藏您从您访问的服务器访问的内容。 您连接到的网站仍然可以看到您的 IP。
• 它不会隐藏您从复杂的网络观察者那里访问的网站。 即使 DNS 加密，SNI（服务器名称） TLS 握手中的指示）通常是明文，揭示目标域。加密的 Client Hello (ECH) 修复了这个问题；采用正在进行中。
• 它不能防止 DoH 解析器本身。 如果您使用 Cloudflare DoH，Cloudflare 会看到您查找的每个域。此处发生与 VPN 相同的信任转变。
• 它不会取代 VPN。 DoH 对本地网络隐藏 DNS； VPN 隐藏来自本地网络和目的地的 DNS、IP 和流量内容。

验证其是否有效

使用我们的 DNS 泄漏测试 来确认您的查询是否到达您认为的位置。如果您的浏览器配置为 Cloudflare DoH，但测试显示您的 ISP 的 DNS，则说明配置有误。