DNS over HTTPS (DoH):它是什么,为什么重要
每次您在浏览器中输入网址,您的设备都会发出一个请求:"这个域名对应的 IP 地址是什么?"这个请求被称为 DNS 查询。几十年来,它一直以明文形式在互联网上传输——对任何监控网络的人来说都完全暴露。DNS over HTTPS (DoH) 正是为了解决这一问题而诞生的。
什么是 DoH
DNS over HTTPS 是一种将 DNS 查询封装在加密 HTTPS 流量中的协议——这与您登录网银或在线购物时所使用的加密类型相同。您的 DNS 请求不再以明文发送,而是被打包进安全的 HTTPS 连接中,发送至支持 DoH 的 DNS 解析器。对外部观察者而言,这些流量看起来与普通的网页浏览无异。
DoH 于 2018 年由互联网工程任务组(IETF)在 RFC 8484 中正式标准化,此后已被集成到 Firefox、Chrome、Edge 等主流浏览器,以及 Windows 11 和 Android 等操作系统中。
工作原理
基本流程如下:
- 您在浏览器中输入 `example.com`。
- 您的设备不再通过端口 53 向 ISP 的 DNS 服务器发送明文 UDP 请求,而是通过端口 443 向 DoH 解析器(如 Cloudflare 的 `1.1.1.1` 或 Google 的 `8.8.8.8`)发送加密的 HTTPS 请求。
- 解析器查找对应的 IP 地址,并通过 HTTPS 加密返回结果。
- 您的浏览器连接至该网站。
由于查询使用的是端口 443(标准 HTTPS 端口),它会与正常的网页流量融为一体。网络中的被动观察者——无论是您的 ISP、网络管理员,还是运行恶意 Wi-Fi 热点的人——都无法轻易将您的 DNS 查询与其他 HTTPS 流量区分开来。
为什么对 VPN 用户来说很重要
您可能会想:如果我已经在使用 VPN,还需要 DoH 吗?这是一个合理的问题,答案取决于您的具体配置。
不使用 VPN 时,DoH 能显著提升隐私保护。您的 ISP 将无法轻易记录您访问的每一个域名。这一点尤为重要——在许多国家,ISP 被允许甚至被要求收集和出售用户的浏览数据。
使用 VPN 时,您的 DNS 查询理应已通过 VPN 隧道路由,并由 VPN 提供商自己的 DNS 服务器进行解析。然而,如果 VPN 连接中断或配置有误,可能会发生 DNS 泄漏——您的设备会回退到在隧道外发送 DNS 查询,从而暴露您的网络活动。将 DoH 与 VPN 结合使用(或选择在内部实现了 DoH 的 VPN),可以针对此类泄漏提供额外的保护。
还需指出的是,DoH 本身并不能替代 VPN。DoH 仅加密域名查询阶段。您的真实 IP 地址仍然对您访问的网站可见,您的 ISP 也仍然能看到您连接的 IP 地址——只是不一定能看到触发这些连接的域名。
实际示例与使用场景
- 公共 Wi-Fi:连接咖啡店或机场网络时,DoH 可防止网络运营商记录您的 DNS 查询或将其重定向至被篡改的服务器。
- 绕过基础审查:部分 ISP 通过拦截 DNS 查询来封锁网站。由于 DoH 的查询经过加密并发送至外部解析器,因此可以绕过 DNS 层面的封锁。(注意:坚定的审查机构仍可通过 IP 地址封锁 DoH 解析器。)
- 浏览器层面的保护:Firefox 和 Chrome 支持直接在设置中启用 DoH,即使未使用 VPN,也能获得加密的 DNS 保护。
- 企业环境:网络管理员对 DoH 往往存在争议,因为它可能绕过内部 DNS 控制。许多组织会将 DoH 配置为通过经批准的内部解析器路由,而非使用公共解析器。
DoH 与 DoT 的区别
DoH 经常与 DNS over TLS(DoT)进行比较,后者是另一种 DNS 加密协议。两者都对 DNS 流量进行加密,但 DoT 使用专用端口(853),网络管理员可以轻易识别并过滤。DoH 则融入普通的 HTTPS 流量中,更难被封锁——这既是其隐私保护方面的优势,也是网络管控层面的一大顾虑。