什么是 DNS Over HTTPS:加密浏览指南
想了解什么是 DNS over HTTPS (DoH) 吗?本指南解释了 DoH 如何加密您的 DNS 查询,以增强隐私、绕过封锁并保护您的浏览安全。
DNS over HTTPS,或称为 DoH,是一种现代协议,旨在保护您的网页浏览隐私。它通过加密您在线的第一步来实现这一点:查找网站的地址。可以把它想象成将一张公开的明信片换成一封密封的私人信件。您的请求在网络上隐藏于窥探者的视线之外。
DNS over HTTPS 解决的隐私问题
每当您访问一个网站时,您的设备需要将您输入的人类友好名称(如 example.com)转换为机器可读的 IP 地址。这一过程由域名系统(DNS)处理,DNS 本质上是互联网的电话簿。
几十年来,这种 DNS 查询一直是完全未加密的,公开进行。这意味着您的互联网服务提供商(ISP)、您的办公室网络管理员,或任何在公共 Wi-Fi 连接上窥探的人都可以看到您查找的每一个网站。这就像在您去某个地方之前向房间里的每个人宣布您的目的地。
这种缺乏隐私造成了一些严重的问题:
- ISP 追踪:您的互联网提供商可以轻松记录您整个的浏览历史。他们可以利用这些数据进行定向广告或将其出售给数据经纪人。
- 公共 Wi-Fi 窃听:在咖啡店或机场网络上,攻击者可以轻易监视您的 DNS 请求,以便对您进行画像或查看您使用的服务。
- DNS 劫持:恶意行为者可以拦截您未加密的 DNS 请求,并返回一个虚假的 IP 地址,将您重定向到一个旨在窃取您凭证的钓鱼网站。
封闭数字信封
DNS over HTTPS 通过将这些 DNS 查询包裹在与保护您的在线银行和购物相同的安全 HTTPS 协议中,改变了游戏规则。这一创新由 谷歌 和 Mozilla 等主要参与者推动,始于2016年,使您的 DNS 请求看起来就像任何其他加密的网络流量。
该图展示了 DoH 如何将 DNS 查询整齐地放入安全的 HTTPS 隧道中,安全地发送到解析器。
关键在于,您的请求和服务器的响应都被保护在这个加密连接中。中间的任何人都无法看到或篡改它们。您可以在 Control D 的 DoH 起源 中找到更多历史背景。
通过将 DNS 请求与正常的 HTTPS 流量混合,DoH 有效地伪装了您的浏览意图,使第三方极难追踪您从第一步开始的在线旅程。
这一简单但强大的变化为互联网原始设计中缺失的隐私层增加了急需的保护。
传统 DNS 与 DNS over HTTPS 一览
为了真正看到区别,让我们将旧方法和新方法并排放置。隐私和安全性的对比非常明显。
| 特性 | 传统 DNS | DNS over HTTPS (DoH) |
|---|---|---|
| 加密 | 无。以明文发送。 | 使用 HTTPS 完全加密。 |
| 端口 | 使用端口 53。 | 使用端口 443(HTTPS 的标准端口)。 |
| 可见性 | 易于被 ISP 和网络监控。 | 与正常的网络流量混合。 |
| 隐私 | 暴露所有访问的域名。 | 隐藏域名查询,防止第三方查看。 |
最终,DoH 将一个脆弱的公共过程保护在我们已经信任的现代加密网络标准之内。
DoH 如何保护您的网页浏览旅程
让我们分解一下,当您点击链接或在浏览器中输入网站时实际发生了什么。看似瞬间,但在幕后发生了一系列活动。DNS over HTTPS (DoH) 介入这一过程,并增加了一个关键的隐私层,保护您的活动不被窥探。
将传统 DNS 想象成发送明信片。沿途处理它的任何人——您的互联网提供商、您办公室的网络管理员,或公共 Wi-Fi 上的黑客——都可以轻松读取您试图到达的地址,例如 "mybank.com"。没有秘密可言。
DoH 将那张明信片封入一个锁住的、不透明的信封中。它安全地包装您的请求,因此在传输过程中没有人可以窥视内容。
步骤 1:安全握手
当您按下 Enter 键时,您的浏览器仍然需要问同样的基本问题:"这个网站的 IP 地址是什么?"但 DoH 并不是在一个开放的房间里大声喊出这个问题,而是做了更聪明的事情。
它将 DNS 查询包裹在一个标准的 HTTPS 请求中——正是保护您在线购物时信用卡信息的安全协议。这个新的加密包随后被发送到一个特殊的 DoH 兼容 DNS 解析器。
由于请求通过端口 443 传输,这是所有安全网络流量的标准端口,因此它与您的设备在线进行的其他所有操作完美融合。这就像在熙熙攘攘、嘈杂的人群中隐藏一段特定的对话。
使用 DoH,您的 DNS 请求不再是一个独特且易于识别的数据片段。它无缝融入从您的设备不断流动的加密网络流量中,使第三方极难孤立和检查。
这一简单的伪装行为是 DoH 强大的秘密。它将一个历史上脆弱的网页浏览部分包裹在现代网络安全的黄金标准中。
步骤 2:加密旅程与私密响应
一旦 DoH 解析器获取到 HTTPS 包,它会安全地解开包装,找到您请求的 IP 地址,并准备回复。
但安全性并不止于此。
解析器获取答案——IP 地址——并将其放回一个新的加密 HTTPS 响应中。这个安全包直接返回到您的浏览器,只有您的浏览器拥有打开它的密钥。
这就是为什么这很重要:
- 无窃听:从开始到结束,整个对话都是私密的。中间没有人可以看到您在线上的去向。
- 数据完整性:加密还保证您获得的响应是可信的,并且没有被恶意更改以将您引导到假网站。
这个图表显示了标准 DNS 请求的开放、脆弱路径与 DoH 提供的安全、私密旅程之间的区别。
正如您所看到的,DoH 的“密封信封”方法对隐私来说是一个彻底的游戏规则改变者。
最后,您的浏览器接收到加密响应,打开它,并将您连接到网站。页面加载速度与以往一样快,但您的数字足迹在整个过程中都得到了保护。这一安全层与其他隐私工具配合良好。要了解更多,请查看我们的指南,了解 cookie 管理器 如何让您获得更多控制权。这种端到端加密使 DoH 成为更私密互联网的重要进步。
使用 DoH 的实际好处是什么?
切换到 DNS over HTTPS (DoH) 不仅仅是一个小的隐私调整。它让您对数字足迹拥有真正的、实用的控制权,以保护您的在线活动,而旧式 DNS 系统从未设计来处理这些。
最明显的好处是什么?它阻止您的互联网服务提供商 (ISP) 保留您访问的每个网站的日志。标准 DNS 查询以明文发送,使您的浏览历史成为一本公开的书。DoH 加密这些查询,有效地将这本书关上。
把它想象成您 DNS 请求的私人隧道。只有您和另一端的 DNS 解析器知道您要去哪里。
最后,安全的公共 Wi-Fi
我们都经历过——连接到咖啡店、机场或酒店的免费 Wi-Fi。但这些网络是攻击者的游乐场,他们可以轻松窃听未加密的流量。一种常见的策略是 中间人 (MITM) 攻击。
其工作原理是:您试图访问您银行的网站。网络上的攻击者拦截您的未加密 DNS 请求,并向您提供一个假 IP 地址,将您引导到一个看似真实但恶意的网站副本。使用 DoH,这整个攻击就会崩溃。您的 DNS 查询是加密的,对他们来说是不可读的,确保您始终访问真实的网站。
通过加密 DNS 流量,DoH 加强了您对常见威胁(如 DNS 欺骗和劫持)的防御,使公共 Wi-Fi 的使用显著更安全。
这是一种简单而强大的防御,针对每天在不安全连接上攻击人们的真实威胁。
绕过网络审查和过滤
DoH 也是保持互联网开放的强大工具。许多公司、学校甚至整个国家通过过滤 DNS 请求来阻止访问内容。当您尝试访问受限网站时,他们的 DNS 服务器根本不会给您正确的 IP 地址。
因为 DoH 将您的查询直接发送到您信任的解析器,所以它可以轻松绕过大多数本地 DNS 过滤器。这意味着您可以访问可能被阻止的内容。
这就是它真正发挥作用的地方:
- 绕过 ISP 级别的阻止:一些提供商出于商业或政策原因过滤某些网站。DoH 可以帮助您绕过这些。
- 克服网络限制:如果您的工作或学校网络阻止您进行研究或获取新闻所需的网站,DoH 通常可以恢复访问。
- 促进信息的自由流动:在互联网审查严重的地方,DoH 可以成为访问全球无过滤网络的必要工具。
这种转变使您能够决定在线可以看到什么,而不是将控制权留给您所处的网络。根据安全提供商 Quad9 的说法,这是一种更大趋势的一部分。他们预测到 2025 年,隐私优先的 DNS 服务将成为抵御利用弱、不加密 DNS 的钓鱼等威胁的标准防御。您可以 探索为什么隐私中心的 DNS 至关重要,以了解这项技术变得多么重要。
比较 DoH、DoT 与传统 DNS
虽然 DNS over HTTPS (DoH) 因提升在线隐私而受到广泛关注,但它并不是唯一的加密 DNS 方案。要真正理解 DoH 的独特性,我们需要将其与其老兄弟 DNS over TLS (DoT) 以及互联网构建的经典未加密 DNS 并排比较。
每种协议处理安全性和隐私的方式不同,这导致了一些重要的权衡。
正确的选择往往归结为在强加密需求与网络管理之间取得平衡,以及协议的部署难易程度。
让我们深入探讨它们之间的区别,并探索为什么浏览器和现代操作系统越来越倾向于使用DoH。
DNS over TLS:直接的加密方式
在DoH成为新标准之前,DNS over TLS是锁定DNS查询的首选。DoT通过将您的DNS查询包裹在安全的传输层安全(TLS)隧道中来工作——这与保护HTTPS网站的强大加密相同。
关键区别在于,DoT在专用端口上运行:端口853。这种直接连接的方法高效,并为DNS创建了一个安全通道。它基本上向网络宣布:“嘿,我是一个加密的DNS查询!”
虽然这对安全性很有利,但也是它的致命弱点。由于它使用了一个独特的端口,网络管理员可以轻松识别并阻止端口853上的流量,以执行本地DNS过滤规则。如果您只想要加密,并且不介意您的DNS流量是可识别的,那么DoT是一个绝佳的选择。
DNS over HTTPS的隐蔽优势
这就是DoH脱颖而出的地方。DoH聪明地通过将DNS查询发送到端口443(所有标准安全HTTPS网络流量使用的端口)来掩盖DNS查询,而不是使用专用端口。
这一小变化产生了巨大的影响。
由于DoH流量看起来与无数其他网站和应用程序的加密数据完全相同,因此网络观察者几乎不可能仅仅识别并阻止您的DNS请求,而不会对所有网页浏览造成重大干扰。
这种“伪装”是DoH的秘密武器。它不仅提供加密,还提供了DoT无法比拟的隐蔽性。这使其成为绕过基于DNS的审查和过于严格的网络政策的极其有效的工具。这也是像Chrome和Firefox这样的浏览器将其作为首选安全DNS方法的主要原因。以隐私为首的工具,如ShiftShift扩展域名检查器也依赖于DoH,以保持您的域名查询完全私密且不被察觉。
逐项比较
为了全面了解,让我们看一下深入的比较。此表突出显示了旧协议、其第一个加密继任者和现代隐蔽标准之间的实际差异。
DNS协议的详细特征比较
深入了解三种主要DNS协议之间的技术和实际差异。
| 属性 | 传统DNS | DNS over TLS (DoT) | DNS over HTTPS (DoH) |
|---|---|---|---|
| 加密 | 无(明文) | 完全TLS加密 | 完全HTTPS加密 |
| 使用的端口 | 端口53 | 端口853 | 端口443 |
| 可见性 | 完全暴露,易于监控 | 加密,但易于识别为DNS流量 | 加密,与常规网络流量融合 |
| 隐私 | 暴露每个域名查询 | 防止内容检查 | 保护内容并伪装请求本身 |
| 阻止性 | 易于阻止或重定向 | 相对容易通过端口阻止 | 在不造成广泛干扰的情况下非常难以阻止 |
| 主要用途 | 传统互联网基础设施 | 在受信任的网络上保护DNS | 增强用户隐私和绕过审查 |
最终,DoH和DoT都是传统DNS的重大安全升级。DoT提供了一个简单、专用的通道来保护您的查询。然而,DoH巧妙地与日常网络流量融合的能力使其具有强大的优势,尤其是在监控或过滤严重的网络上,使其成为今天以隐私为重点的工具和用户的明显选择。
理解批评和权衡
虽然DNS over HTTPS (DoH)是个人隐私的巨大胜利,但它并不是万灵药。像任何新技术一样,它伴随着一系列挑战和权衡。重要的是要全面了解,并理解随着DoH日益普及而出现的合理担忧。
对其最大的反对论点之一是DNS集中化的风险。大多数网页浏览器默认将DoH请求引导到少数大型提供商,如Google、Cloudflare和Quad9。尽管这些公司有强大的隐私政策,但这种设置实际上将互联网的地址簿掌握在少数企业巨头手中。
这只是将一个问题换成另一个问题。
现在,您的本地互联网服务提供商(ISP)不再能够窥探您的浏览习惯,这种可见性转移到了另一家科技巨头身上。对于任何对企业数据追踪感到不安的人来说,这都是一个重大问题。
网络管理困境
对于管理网络的人来说——无论是在公司、学校,还是在有家长控制的家庭中——DoH 可能是一个巨大的头痛。他们长期以来依赖监控 DNS 流量来确保网络的安全。
这种监督对于以下方面至关重要:
- 执行安全政策: 阻止访问已知恶意软件、网络钓鱼诈骗和僵尸网络指挥中心的域名。
- 内容过滤: 在学校和家庭等地方,阻止不当或成人内容进入网络。
- 合规性: 确保网络活动符合特定的法律或行业要求。
DoH 实质上绕过了所有这些传统的基于 DNS 的保护措施。由于 DNS 查询是加密的,并且看起来与正常的 HTTPS 网络流量一样,因此它们对大多数防火墙和过滤设备完全不可见。这可能削弱网络的防御能力,并在精心制定的安全政策中打出漏洞。
这里的核心冲突是经典的拉锯战:个人用户隐私与集中网络控制。赋予用户绕过审查的能力的特性,也使员工能够绕过关键的安全过滤器。
这在行业内引发了激烈的辩论。安全专业人士指出,尽管 DoH 出于良好的意图,但它可能会使保护我们的工具失去作用。我们甚至看到恶意软件开始使用 DoH 来掩盖其通信,使其更难被发现和关闭。
寻找平衡的方法
整个辩论实际上表明,DoH 并不是一种适合所有人的解决方案。对于在咖啡店使用可疑公共 Wi-Fi 网络的个人来说,其好处显而易见。有人窥探您活动的风险很高,而 DoH 增加了一层重要的保护。
但在公司办公室或学校这样的受管理环境中,计算方式就不同了。在这里,网络范围内的安全和内容过滤的需求通常优先于加密 DNS 带来的隐私提升。这正是许多组织选择在其网络上阻止 DoH 的原因,迫使所有 DNS 请求通过他们自己监控的服务器。
最终,真正理解 HTTPS 上的 DNS 意味着既要看到它的优势,也要看到它的缺陷。这是一个极好的工具,可以增强个人隐私,但它的使用方式和地点需要仔细考虑。对于网络管理员来说,适应一个有 DoH 的世界意味着要发展他们的安全策略,并找到新的方法来保护用户,而不依赖于传统的 DNS 监控。
如何启用和测试 HTTPS 上的 DNS
切换到 HTTPS 上的 DNS 比您想象的要容易得多。我们每天使用的大多数网络浏览器和操作系统都已经内置了 DoH 支持,这意味着您只需点击几下,就可以为您的浏览添加一层重要的隐私保护。
本指南将引导您在最常见的平台上启用 DoH。设置完成后,我们将介绍如何快速检查您的 DNS 流量是否确实被加密并保持隐私。
在您的网络浏览器中激活 DoH
对于大多数人来说,开始使用 DoH 的最简单方法是在网络浏览器中直接启用它。这种方法非常好,因为它加密了您浏览器进行的所有域名查找,无论您计算机的主要网络设置是什么。
谷歌 Chrome
- 点击右上角的三点菜单图标,进入 设置。
- 然后,转到 隐私与安全,接着点击 安全。
- 向下滚动到“高级”区域,查找 使用安全 DNS 选项。
- 将其切换为开启。默认情况下,如果您的互联网服务提供商支持 DoH,Chrome 会尝试使用您当前的服务。为了更好的隐私,我建议选择“与”并选择一个特定的提供商,如 Cloudflare(1.1.1.1)或 谷歌(公共 DNS)。
Mozilla Firefox
- 点击右上角的三条线“汉堡”菜单,选择 设置。
- 保持在 常规 面板,向下滚动到 网络设置,然后点击 设置... 按钮。
- 在弹出的新窗口中,向下滚动并勾选 启用 HTTPS 上的 DNS 选项。
- 然后,您可以从列表中选择一个提供商,或者如果您有喜欢的,可以输入自定义的提供商。
在浏览器中启用 DoH 是隐私的一个快速胜利。它在不需要对操作系统进行深度技术更改的情况下,保护了您绝大多数的网络活动。
在您的操作系统上启用 DoH
如果您希望保护超出仅浏览器的范围,并覆盖其他应用程序,您可以在操作系统级别启用 DoH。需要知道的是,虽然这是 Windows 11 的标准功能,但它从未正式出现在 Windows 10 中。
Windows 11
- 打开 设置,进入 网络和互联网。
- 选择您正在使用的连接,Wi-Fi 或 以太网。
- 点击 硬件属性。
- 查找 DNS 服务器分配,并点击旁边的 编辑 按钮。
- 将设置从“自动(DHCP)”切换为 手动。
- 开启 IPv4,并输入您 DoH 提供商的 IP 地址(对于 Cloudflare,分别是
1.1.1.1和1.0.0.1)。 - 现在,在 首选 DNS 加密 下拉菜单中,选择 仅加密(HTTPS 上的 DNS)。点击 保存,您就完成了。
如何确认 DoH 是否正常工作
一旦您启用了 DoH,确保它确实在运行是个好主意。快速检查将让您安心,确保您的 DNS 请求得到了适当的加密。
一个很好的工具是 Cloudflare 的 浏览体验安全检查。只需加载页面,它会自动对您的连接进行几项测试。您关心的是“安全 DNS”——绿色勾号意味着您的查询正在通过加密通道发送。
如果您得到了绿色信号,您就可以放心了。如果没有,请返回并仔细检查您的设置,或者尝试不同的 DoH 提供商。请记住,连接缓慢有时会干扰测试结果;您可以在我们的专门指南中了解更多关于如何 准确测试互联网速度 的信息。
关于 HTTPS 上的 DNS 的常见问题
随着越来越多的人开始使用 HTTPS 上的 DNS,一些常见问题总是会出现。弄清楚这些问题可以帮助您理解 DoH 在您的隐私工具包中真正的位置,以及在您切换时可以期待什么。让我们深入探讨最常见的问题。
使用 DoH 会减慢我的互联网连接吗?
在大多数情况下,不会。DoH 对您的浏览速度的影响通常非常小,您不会注意到。虽然添加加密确实会在每个 DNS 请求中引入一点开销,但现代计算机和网络速度如此之快,以至于它们处理起来毫不费力。
在某些情况下,您甚至可能会看到速度 提升。如果您的互联网服务提供商的默认 DNS 服务器反应缓慢,切换到像 Cloudflare 或 谷歌 这样的高性能 DoH 服务实际上可以让网站加载得更快。加密带来的微小延迟是为了获得巨大的隐私和安全升级而付出的微不足道的代价。
底线:对于大多数人来说,性能差异微乎其微。您从加密 DNS 中获得的安全性是非常值得的。
DoH 是 VPN 的完全替代品吗?
绝对不是。将 DoH 和虚拟私人网络(VPN)视为两种不同的工具,它们可以很好地协同工作。
他们解决了在线隐私拼图中不同但同样重要的部分。以下是对他们工作的简单理解:
- HTTPS上的DNS(DoH): 这仅加密DNS查询——也就是当您的浏览器请求一个网站的IP地址时。它阻止窃听者看到您试图访问哪些网站。
- 虚拟私人网络(VPN): 这加密您所有的互联网流量,并隐藏您真实的IP地址,使您连接的网站无法看到。这是对您在线活动的更全面的隐私保护。
一个类比可能会有所帮助:DoH就像把您的目的地地址放在一个密封的私人信封里。而VPN则像是把您的整辆车放在一个锁住的、没有标记的卡车里去到那里。为了获得最佳保护,您确实希望同时使用两者。
如果我使用DoH,我的雇主能看到我的浏览记录吗?
即使启用了DoH,您也不应假设在受管理的公司或学校网络上是隐形的。虽然它使得随意窥探变得更加困难,但它并不是针对专门网络监控的灵丹妙药。
您的雇主还有其他方式来查看发生了什么。即使您的DNS查询被隐藏,聪明的网络管理员仍然可以通过查看您连接的目标IP地址来大致了解您的活动。更重要的是,许多工作发放的设备上直接安装了监控软件,这些软件在DoH发挥作用之前就能看到您所做的一切。DoH是隐私保护的一个重要步骤,但它并不能绕过公司的监控系统。
准备好保护您的浏览并简化您的工作流程了吗?ShiftShift Extensions生态系统在您的浏览器中提供了一套强大的工具,包括一个使用DNS-over-HTTPS进行私密查询的域名检查器。通过下载ShiftShift Extensions,用一个统一的命令面板掌控您的数字生活。
