如何开启DoH:主流浏览器和操作系统设置指南 – wiki基地

作者: /

如何开启 DoH:主流浏览器和操作系统设置指南

DNS over HTTPS (DoH) 是一种通过 HTTPS 协议加密 DNS 查询的协议,旨在提高用户隐私和安全性,防止 DNS 劫持和中间人攻击。本文将详细介绍 DoH 的原理、优势,以及如何在主流浏览器(Chrome、Firefox、Edge)和操作系统(Windows、macOS、Android、iOS)中开启 DoH 功能。

一、DoH 原理与优势

1.1 传统 DNS 的问题

在传统的 DNS 解析过程中,用户的 DNS 查询请求以明文形式发送到 DNS 服务器,这存在以下安全隐患:

  • 窃听: 第三方(如 ISP、网络管理员或恶意攻击者)可以监视用户的 DNS 查询,了解用户访问了哪些网站。
  • 篡改: 攻击者可以篡改 DNS 响应,将用户重定向到虚假网站,进行钓鱼攻击或传播恶意软件。
  • 劫持: ISP 或网络管理员可能会劫持 DNS 查询,插入广告或阻止用户访问特定网站。

1.2 DoH 的工作原理

DoH 通过使用 HTTPS 协议加密 DNS 查询请求和响应,解决了传统 DNS 的安全问题。其工作原理如下:

  1. 客户端发起 DoH 查询: 当用户在浏览器中输入网址或应用程序需要解析域名时,支持 DoH 的客户端(如浏览器或操作系统)会将 DNS 查询请求封装在 HTTPS 请求中。
  2. HTTPS 加密传输: HTTPS 请求通过 TLS/SSL 加密,确保查询请求在传输过程中不被窃听或篡改。
  3. DoH 服务器解析: DoH 服务器接收到 HTTPS 请求后,解密其中的 DNS 查询请求,然后像传统 DNS 服务器一样进行域名解析。
  4. HTTPS 加密响应: DoH 服务器将解析结果(IP 地址)封装在 HTTPS 响应中,并通过 TLS/SSL 加密返回给客户端。
  5. 客户端接收响应: 客户端接收到 HTTPS 响应后,解密其中的 DNS 解析结果,并将其用于建立网络连接。

1.3 DoH 的优势

  • 增强隐私: DoH 加密了 DNS 查询,防止第三方窃听用户访问的网站。
  • 提高安全性: DoH 可以防止 DNS 篡改和劫持,确保用户访问正确的网站。
  • 绕过审查: 在某些情况下,DoH 可以绕过网络审查,访问被阻止的网站。
  • 防止中间人攻击:HTTPS 协议的使用保证了通信双方的身份验证,可以有效防止中间人攻击。

二、主流浏览器开启 DoH

2.1 Google Chrome

  1. 打开 Chrome 设置: 在 Chrome 地址栏输入 chrome://settings/ 并回车。
  2. 进入隐私和安全设置: 在左侧导航栏中,点击“隐私和安全”。
  3. 找到安全 DNS 设置: 在右侧内容区域中,找到“安全”部分,点击“使用安全 DNS”。
  4. 选择 DoH 提供商:
    • 与您的当前服务提供商一起使用: Chrome 会尝试使用当前网络配置的 DNS 服务器的 DoH 服务(如果可用)。
    • 自定义: 您可以选择其他公共 DoH 提供商,如 Google Public DNS、Cloudflare DNS、Quad9 等。在下拉菜单中选择提供商,或手动输入提供商的 DoH URL。

一些常用的 DoH 提供商及其 URL:

  • Google Public DNS: https://dns.google/dns-query
  • Cloudflare DNS: https://cloudflare-dns.com/dns-query
  • Quad9: https://dns.quad9.net/dns-query

2.2 Mozilla Firefox

  1. 打开 Firefox 设置: 在 Firefox 地址栏输入 about:preferences 并回车。
  2. 进入常规设置: 确保您位于左侧导航栏的“常规”部分。
  3. 找到网络设置: 向下滚动页面,找到“网络设置”部分,点击“设置…”按钮。
  4. 启用 DoH: 在弹出的“连接设置”窗口中,勾选“启用基于 HTTPS 的 DNS”复选框。
  5. 选择 DoH 提供商:
    • 使用默认提供商: Firefox 默认使用 Cloudflare DNS。
    • 自定义: 您可以点击下拉菜单选择其他提供商,或在“自定义”框中输入提供商的 DoH URL。

2.3 Microsoft Edge

  1. 打开 Edge 设置: 在 Edge 地址栏输入 edge://settings/ 并回车。
  2. 进入隐私、搜索和服务设置: 在左侧导航栏中,点击“隐私、搜索和服务”。
  3. 找到安全 DNS 设置: 在右侧内容区域中,找到“安全”部分,点击“选择如何查找网站的网络地址”的选项。
  4. 开启安全 DNS:
  5. 选择“使用当前服务提供商”:将尝试使用系统默认DNS服务器的DoH(如果可用)
  6. 选择“选择服务提供商”:可以从列表中选择一个预配置的提供商,或者在下面的文本框中输入一个自定义的提供商。

三、操作系统开启 DoH

3.1 Windows 11

Windows 11 原生支持 DoH,设置方法如下:

  1. 打开网络和 Internet 设置: 点击任务栏右下角的网络图标,选择“网络和 Internet 设置”。
  2. 选择网络连接: 根据您使用的网络类型,点击“以太网”或“WLAN”。
  3. 编辑 DNS 设置:
    • 以太网: 点击已连接的网络,然后点击“硬件属性”。
    • WLAN: 点击已连接的 Wi-Fi 网络,然后点击“属性”。
  4. 修改 DNS 服务器分配: 在“IP 设置”部分,点击“编辑”按钮。在“编辑 IP 设置”或“编辑 DNS 设置”下,选择“手动”,然后开启“IPv4”。
  5. 输入 DoH 服务器地址:
    • 在“首选 DNS”和“备用 DNS”中,输入您选择的 DoH 提供商的 IPv4 地址。
    • 在“首选 DNS 加密”和“备用 DNS 加密”下拉菜单中,选择“仅加密(基于 HTTPS 的 DNS)”。
  6. 保存设置: 点击“保存”按钮。

3.2 Windows 10(较新版本)

Windows 10 的较新版本(如 2004 及更高版本)也支持 DoH,但设置方式略有不同:

  1. 打开设置: 点击“开始”菜单,选择“设置”(齿轮图标)。
  2. 进入网络和 Internet 设置: 点击“网络和 Internet”。
  3. 更改适配器选项: 在左侧导航栏中,点击“状态”,然后在右侧内容区域中,点击“更改适配器选项”。
  4. 编辑网络连接属性: 右键点击您正在使用的网络连接(以太网或 Wi-Fi),选择“属性”。
  5. 配置 IPv4 或 IPv6: 在“网络”选项卡中,双击“Internet 协议版本 4 (TCP/IPv4)”或“Internet 协议版本 6 (TCP/IPv6)”。
  6. 手动配置 DNS 服务器: 选择“使用下面的 DNS 服务器地址”,然后输入您选择的 DoH 提供商的 IPv4 或 IPv6 地址。

  7. 通过注册表开启加密:

    • 打开注册表编辑器(在“开始”菜单中搜索 regedit)。
    • 导航到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
    • 创建一个新的 DWORD (32 位) 值,命名为 EnableAutoDoh
    • EnableAutoDoh 的值设置为 2
    • 重启计算机或重启“DNS Client”服务。

    注意:在旧版本Windows10上通过修改注册表来强制使用DoH可能无法正常工作。系统更倾向于用户指定的,但未加密的DNS服务器。

3.3 macOS

macOS 目前没有像 Windows 那样直接在系统设置中配置 DoH 的选项,但可以通过以下方法实现:

  1. 使用 DoH 配置文件:

    • 下载由受信任的 DoH 提供商提供的 macOS 配置文件(.mobileconfig 文件)。
    • 双击下载的配置文件,按照提示安装。
    • 安装完成后,系统将自动使用配置文件中指定的 DoH 服务器。

    一些提供商(如 Cloudflare)提供了 DoH 配置文件。您可以在其官方网站上找到下载链接和安装说明。

  2. 使用第三方应用程序:

    • 有一些第三方应用程序可以帮助您在 macOS 上配置 DoH,例如 Cloudflare 的 1.1.1.1 应用程序。
    • 下载并安装这些应用程序,然后按照应用程序的说明进行配置。

3.4 Android

Android 9 (Pie) 及更高版本支持“私有 DNS”功能,实际上就是 DoH:

  1. 打开设置: 点击“设置”图标。
  2. 进入网络和互联网设置: 点击“网络和互联网”或“连接”。
  3. 找到私有 DNS 设置: 点击“高级”或“更多连接设置”,然后找到“私有 DNS”。
  4. 选择私有 DNS 模式:
    • 关闭: 禁用私有 DNS。
    • 自动: 系统将尝试使用 DoH,如果不可用则回退到传统 DNS。
    • 私有 DNS 提供商主机名: 输入您选择的 DoH 提供商的主机名(例如 dns.google1dot1dot1dot1.cloudflare-dns.com)。
  5. 保存设置: 点击“保存”。

3.5 iOS

iOS 14 及更高版本支持 DoH 和 DoT(DNS over TLS):

与macOS类似,iOS 不提供直接的设置选项。 你需要:

  1. 使用 DoH/DoT 配置文件:

    • 下载由受信任的 DoH/DoT 提供商提供的 iOS 配置文件(.mobileconfig 文件)。
    • 打开“设置”应用,你会看到一个提示,说明已下载配置文件。
    • 点击该提示,然后按照屏幕上的说明安装配置文件。

  2. 使用第三方应用程序

    • 有一些第三方应用程序可以帮助你在iOS上配置DoH或者DoT。例如Cloudflare 的 1.1.1.1 应用程序

四、验证 DoH 是否生效

在配置 DoH 后,您可以使用以下方法验证其是否生效:

  1. Cloudflare 测试页面: 访问 Cloudflare 的测试页面 https://1.1.1.1/help,查看“Using DNS over HTTPS (DoH)”是否显示为“Yes”。
  2. DNS 泄漏测试: 使用在线 DNS 泄漏测试工具(如 dnsleaktest.com),查看显示的 DNS 服务器是否为您配置的 DoH 提供商的服务器。
  3. 浏览器检查
    部分浏览器,例如Firefox,允许你查看是否使用了安全DNS。在Firefox的地址栏中输入about:networking,然后在“DNS”选项卡中,你可以查看“TR”列,如果为true,则表明DoH正在被使用。

五、注意事项与潜在问题

  • 性能影响: DoH 可能会略微增加 DNS 解析时间,因为增加了加密和解密的过程。但在大多数情况下,这种影响可以忽略不计。
  • 兼容性问题: 某些网络环境或设备可能不支持 DoH,或者可能与 DoH 存在兼容性问题。
  • 提供商选择: 选择一个可靠的、受信任的 DoH 提供商非常重要。不同的提供商可能有不同的隐私政策和性能表现。
  • 绕过本地 DNS 设置: 启用 DoH 后,可能会绕过本地 DNS 设置(如 hosts 文件或路由器上的 DNS 设置),这在某些情况下可能会导致问题。
  • 企业环境:在企业网络中部署DoH时要谨慎。它可能会干扰现有的网络监控和安全策略。

六、总结

DoH 是一项重要的安全和隐私增强技术,可以有效保护用户的 DNS 查询。通过本文提供的指南,您可以在主流浏览器和操作系统中轻松开启 DoH 功能。选择合适的 DoH 提供商并进行正确的配置,可以显著提升您的网络安全和隐私保护水平。

发表评论

您的邮箱地址不会被公开。 必填项已用 * 标注

滚动至顶部