什么是DNS over HTTPS (DoH)？原理、设置方法与隐私效果

什么是 DNS over HTTPS？

DNS over HTTPS (DoH) 是一种通过 HTTPS 协议传输 DNS 查询来实现加密的协议。传统的 DNS 通信以明文方式进行，ISP、网络管理员和恶意第三方可以轻松拦截和监控用户访问的网站。DoH 通过加密保护 DNS 查询内容，从根本上解决了这一问题。

DoH 于 2018 年作为 RFC 8484 标准化，利用现有的 HTTPS 基础设施，使防火墙难以选择性地阻止 DNS 流量。由于它使用与普通网页流量相同的 443 端口，从技术上区分 DoH 和普通 HTTPS 连接非常困难。

当使用 VPN 时，如果 DNS 查询仍以明文方式暴露，就会发生 DNS 泄漏。将 DoH 与 VPN 结合使用可以显著降低这一风险。

传统 DNS 的隐私问题

域名系统 (DNS) 是互联网的基础组件，但其 1983 年的原始设计并未考虑安全性和隐私。

明文拦截风险

传统 DNS 查询使用 UDP 53 端口，完全以明文方式传输。这意味着网络路径上的任何人都可以观察用户正在访问哪些域名。

• ISP 可以记录每一条 DNS 查询，为每个用户构建完整的浏览历史
• 在公共 Wi-Fi 上，同一网络中的攻击者可以拦截 DNS 查询
• 国家级监控机构可以大规模收集 DNS 数据，这是获取互联网活动信息最简便的来源之一

DNS 欺骗和篡改

未加密的 DNS 通信也容易遭到篡改。攻击者可以伪造 DNS 响应，将用户重定向到恶意网站，这种技术被称为 DNS 欺骗，也被用于钓鱼攻击。

• 中间人 (MITM) 攻击篡改 DNS 响应
• DNS 缓存投毒实现大规模重定向
• ISP DNS 劫持（将不存在的域名重定向到广告页面）

审查和内容过滤

一些国家和组织使用基于 DNS 的内容封锁。通过拦截或重定向特定域名的 DNS 查询，他们可以限制用户访问某些网站和服务。

DoH 的工作原理：技术细节

DoH 通过将 DNS 查询封装为 HTTPS 请求来实现加密。对于有兴趣了解底层协议机制的读者，深入了解 DNS 协议的相关书籍可以提供有价值的背景知识。

通信流程

1. 浏览器或操作系统生成 DNS 查询
2. 查询以 DNS 线路格式编码
3. 编码后的查询作为 HTTPS POST（或 GET）请求发送到 DoH 服务器
4. DoH 服务器执行 DNS 解析并以 HTTPS 响应返回结果
5. 浏览器或操作系统解码响应并获取 IP 地址

协议和端口

DoH 使用 TCP 443 端口，与 HTTPS 相同。应用 TLS 1.3 加密，完全对第三方隐藏通信内容。用于网页浏览的 HTTPS/TLS 加密技术被直接应用于 DNS 通信，确保了同等的安全性。

DoH 与 DNS over TLS (DoT) 的比较

除了 DoH，DNS over TLS (DoT) 是另一种 DNS 加密技术。以下是主要区别：

• DoH：使用 HTTPS（443 端口）。难以与普通网页流量区分，更难被封锁
• DoT：使用专用 853 端口。网络管理员更容易识别和控制 DNS 流量
• DoH：可在浏览器级别配置。便于按应用部署
• DoT：通常在操作系统级别配置。可以加密整个系统的 DNS
• DoH：通过 HTTP/2 和 HTTP/3 多路复用可能具有性能优势
• DoT：协议开销更低，实现更简单

在主流浏览器中设置 DoH

所有主流浏览器现在都支持 DoH。以下是各浏览器的设置说明。

Google Chrome

1. 在地址栏输入 chrome://settings/security
2. 在安全部分启用"使用安全 DNS"
3. 选择"使用自定义"，然后从 Cloudflare、Google、Quad9 或其他提供商中选择
4. Chrome 125 及更高版本还支持与 ECH（加密客户端 Hello）的集成

Mozilla Firefox

1. 进入"设置"→"隐私与安全"
2. 在"DNS over HTTPS"部分，选择"最大保护"
3. 选择提供商（默认为 Cloudflare）
4. Firefox 自 2020 年起已为美国用户默认启用 DoH，并于 2025 年将覆盖范围扩展到更多地区

Microsoft Edge

1. 导航到 edge://settings/privacy
2. 在安全部分启用"使用安全 DNS 来指定如何查找网站的网络地址"
3. 选择首选服务提供商

Apple Safari

macOS 15 和 iOS 18 及更高版本的 Safari 使用系统级加密 DNS 设置。通过"系统设置"→"网络"→"DNS"进行配置。Apple 还通过 iCloud Private Relay 提供自己的加密 DNS。

主要 DoH 提供商

要使用 DoH，需要选择一个值得信赖的 DoH 提供商。以下是主要提供商及其特点。

Cloudflare (1.1.1.1)

• 端点：https://cloudflare-dns.com/dns-query
• 隐私政策：查询日志在 24 小时内删除。由 KPMG 进行年度审计
• 特点：全球响应速度最快之一。还提供带恶意软件拦截功能的 1.1.1.2

Google Public DNS (8.8.8.8)

• 端点：https://dns.google/dns-query
• 隐私政策：临时记录完整 IP 地址，但在 24-48 小时内匿名化
• 特点：高可靠性和稳定性。支持 DNSSEC 验证

Quad9 (9.9.9.9)

• 端点：https://dns.quad9.net/dns-query
• 隐私政策：总部位于瑞士。完全不记录 IP 地址
• 特点：通过威胁情报自动拦截恶意软件域名。由非营利组织运营

如何选择合适的提供商

与选择 VPN 一样，选择 DoH 提供商直接影响您的隐私。请审查每个提供商的日志政策、组织管辖权和第三方审计状况，找到符合您隐私需求的提供商。

优势与顾虑

隐私和安全改进

• DNS 查询加密可防止 ISP 和网络管理员监控浏览历史
• 防范 DNS 欺骗和中间人攻击
• 降低 DNS 泄漏风险
• 提高在公共 Wi-Fi 等不可信网络上的安全性
• 作为绕过审查工具的有效性

顾虑与批评

• 可能使企业网络的安全监控变得复杂
• 家长控制和基于 DNS 的内容过滤可能失效
• DNS 查询集中在少数大型提供商，产生新的中心化风险
• DoH 加密域名但不隐藏目标 IP 地址本身
• 一些国家可能会监管或限制 DoH 的使用

为什么仅靠 DoH 还不够

虽然 DoH 加密了 DNS 查询，但要实现全面的隐私保护还需要额外措施。通过浏览器指纹进行的追踪以及通过 TLS 握手 SNI（服务器名称指示）泄漏的目标信息，仅靠 DoH 无法防范。要实现彻底的隐私保护，建议将 DoH 与 VPN、Tor 浏览器和 ECH（加密客户端 Hello）结合使用。希望构建分层防御策略的用户会发现网络隐私与加密指南特别有用。

2025-2026 年最新动态

DNS over QUIC (DoQ) 标准化

作为 RFC 9250 标准化的 DNS over QUIC (DoQ) 在 2026 年初获得了显著发展。DoQ 结合了 DoH 的加密优势和 QUIC 0-RTT 连接建立带来的低延迟。AdGuard DNS 和 Cloudflare 现已提供 DoQ 端点，Android 15 添加了原生 DoQ 支持，使其成为注重隐私的用户在 DoH 和 DoT 之外的有力替代方案。

iCloud Private Relay DNS 集成

Apple 的 iCloud Private Relay 在 2025-2026 年扩展了其 DNS 隐私功能，通过双跳中继架构路由所有 DNS 查询。这为 Apple 设备用户提供了与 DoH 等效的隐私保护，无需手动配置。与 Oblivious DoH (ODoH) 的集成确保即使 Apple 也无法将 DNS 查询与用户身份关联。

ISP 加密 DNS 采用

到 2026 年初，全球主要 ISP 已开始为客户提供加密 DNS 服务。Comcast、BT 和 NTT 已部署 DoH 和 DoT 解析器，减少了用户切换到第三方 DNS 提供商的需求。这一转变受到欧盟 NIS2 指令的监管压力和消费者隐私意识增长的推动，代表了全球隐私监管格局的根本性变化。

DNSSEC + DoH 联合部署

到 2026 年初，DNSSEC（DNS 安全扩展）与 DoH 的结合已成为推荐的最佳实践。DoH 在传输过程中加密 DNS 查询，而 DNSSEC 验证 DNS 响应的真实性。两者结合为 DNS 通信提供了机密性和完整性。主要 DoH 提供商现已默认启用 DNSSEC 验证。

加密客户端 Hello (ECH) 集成

在 2025-2026 年，Cloudflare 和 Mozilla 实现了 ECH 的广泛部署。ECH 在 TLS 握手期间加密 SNI，与 DoH 结合使用时，不仅完全隐藏 DNS 查询，还隐藏目标域名。ECH 在 Chrome 130+ 和 Firefox 142+ 中默认启用，Safari 在 macOS 15.3 中添加了支持。

Oblivious DoH (ODoH) 进展

Oblivious DoH 是一种即使对 DoH 提供商也隐藏客户端 IP 地址的技术。通过代理服务器路由查询，它将"谁"发出查询与"查询了什么"分离。Cloudflare 的 ODoH 服务已显著成熟，到 2026 年初兼容客户端数量大幅增长。

实用设置清单

按照以下步骤加强您的 DNS 隐私：

1. 在 IP 确认上检查当前 DNS 设置并测试 DNS 泄漏
2. 在浏览器中启用 DoH（参考上述设置说明）
3. 选择值得信赖的 DoH 提供商（验证其日志政策和管辖权）
4. 运行 DNS 泄漏测试确认 DoH 正常工作
5. 如果使用 VPN，请验证 VPN DNS 设置和 DoH 设置没有冲突
6. 结合注重隐私的搜索引擎来保护搜索查询
7. 使用支持 ECH 的浏览器并启用 SNI 加密

总结

DNS over HTTPS 是改善互联网隐私的关键技术。它通过 HTTPS 加密解决了传统明文 DNS 通信中固有的拦截、篡改和审查风险。在主流浏览器中设置只需几分钟，如果您还没有启用，现在就是时候了。然而，仅靠 DoH 无法提供完整的隐私保护，将其与 VPN 和 ECH 等其他技术结合使用以实现纵深防御至关重要。