DNS over HTTPS
DNS over HTTPS (DoH) 是一个安全域名解析方案,当前尚处于实验性阶段。其使用加密的 HTTPS 协议进行 DNS 解析,避免原始 DNS 协议中用户的 DNS 解析被窃听或者修改的问题(例如中间人攻击),从而达到保护用户隐私的目的。Google 及 Mozilla 都在测试这一协议,作为其提高网络安全性的一部分。
Firefox 开启 DoH
Firefox 浏览器的最新版本已经支持 DNS over HTTPS (DoH):
- 打开 Firefox 浏览器的「首选项」;
- 在「常规」面板的「网络设置」部分,点击「设置…」打开「连接设置」对话框;
- 勾选「启用基于 HTTPS 的 DNS」。
Firefox DoH 特性说明
Firefox 开启 DoH 后默认使用 CloudFlare 的 HTTPS DNS 进行所有 DNS 解析,即上图中的「URL」https://mozilla.cloudflare-dns.com/dns-query ,当然,你也可以指定另外的服务 URL,例如 Google 的 https://dns.google.com/experimental 。不过还是建议使用默认的服务 URL,CloudFlare 的 DNS 强调保护用户的隐私,参见其隐私声明。
Firefox 还是会使用常规的 DNS 作为备选,以备遇到 DoH 无法解析的情况,例如企业内网的私有域名。
高级设置
在 Firefox 地址栏输入「about:conifg」可以手动修改 Network TRR 的高级设置,主要是「network.trr.mode」的设置:
- 0 是默认值,即不启用 DoH;
- 2 是上述设置的值,优先使用 DoH,如果解析失败则使用常规 DNS;
- 1 是让 Firefox 自行选择 DoH 和常规 DNS 中较快的一个;
- 3 是仅使用 DoH;
- 5 是关闭 DoH。
由于 DoH 设置的 URL 中使用了域名,因此仍需要使用常规 DNS 解析得到 DoH 服务器的 IP 地址,不过你也可以直接在 URL 中填写 DoH 服务器的 IP 地址来避免初始的常规 DNS 解析。
实际使用感受
使用 DoH 后隐私担忧是减轻了,但是网站访问速度有所下降(首次 DNS 解析时间增加),想必这是必有的副作用吧,国内部分网站甚至会出现访问速度很慢的情况。不过 DoH 可以在一定程度上防范 DNS 污染,例如在 Bing 被封那一天多时间里使用 DoH 可以正常访问哦。