什么是HTTPS上的DNS，安全DNS，它是如何工作的？

DNS over HTTPS（DoH）是一个免费的协议标准，用于通过超文本传输协议安全（HTTPS）传输DNS请求（和决议）。它是传输DNS的安全替代方案，而不是纯文本，因为DOH对数据进行加密。这项技术旨在保护内容免受未经授权的访问或操纵，并保护互联网用户的隐私。在这篇文章中，我们还学习了如何在Firefox、Google Chrome、Microsoft Edge和Opera中启用DNS over HTTPS。

了解DNS over HTTPS是如何工作的，以及该标准的优点和缺点。

内容显示
通过HTTPS的DNS是如何工作的？
域名系统（DNS）将可读的URL与神秘的IP地址联系起来，是基于IP的网络最重要的服务之一–因为有意义的名字比光秃秃的数字列更容易记住。

应用层面的域名系统通常根据自然语言来解析主机名称，并提供相关的IP地址。比如说。当你在浏览器中调用一个URL（例如：www.google.com）时，会自动向DNS发出请求，以确定网络服务器的IP地址（在我们的例子中，这将是142.250.192.174）。根据这一信息，浏览器就会调用该网站。如果没有DNS，每次你想访问一个网站时，都必须在浏览器中输入地址。

此外，DNS允许服务器的IP地址相对无风险地被改变。如果用户只处理一个DNS名称，相关IP地址的变化基本上不会被注意到。这方面的一个可能的应用是用IPv6取代传统的IP地址。此外，单个DNS名称也可以分配给几个IP地址–其结果将是通过DNS进行简单的负载平衡（负载平衡）。

该数据库。域名资源记录

DNS数据库是以资源记录的形式组织的。每个单独的主机和顶级域都可以与这些记录中的几个相联系。一个资源记录由五个条目组成。

Domain_name：条目所指的域的名称。
存活时间。该记录的有效期，以秒为单位。该值表明，在数据必须从总是当前的 “权威记录 “中再次更新之前，该记录可以在缓存（”缓存记录”）中被缓存多长时间。
类。对于有关互联网的信息，该类总是被设置为 “IN”。其他字段是可能的，但很少使用。
类型。指定记录的类型，如 “A “代表IPv4地址，”AAAA “代表IPv6地址，或 “NS “代表名称服务器。
值。记录的值取决于记录的 “类型”，可以采用各种数值，包括数字、域名或ASCII字符串。
然而，也有一个陷阱。对DNS服务器的查询是以纯文本传输的。这意味着，原则上，在你的设备和名称服务器之间的路径上，你可以看到你想访问的网站。这很容易被黑客和网络犯罪分子发现，以实现操纵（例如，重定向到另一个页面或DDoS攻击）。

数据被隐藏在HTTPS流量中
这就是DNS over HTTPS的作用。顾名思义，这使用了HTTPS协议，该协议默认运行在443端口。由于这在大多数网络中是开放的，因此不会出现由于防火墙封锁或类似的问题。

因此，DNS流量通过加密连接运行到（具有DoH功能的）DNS服务器，即所谓的DoH解析器。为此，DoH使用面向连接的通信，并在建立后发送HTTPS数据包，其中反过来包含实际的DNS请求。因此，数据被隐藏在实际的HTTPS流量中。解析器也是加密响应的。

通过使用HTTPS，几乎任何网络服务器现在都能够回答DNS查询（当然，前提是它支持DoH）。此外，它应该在未来提供关于被请求网站的所有链接和使用的页面的信息。这样，当你在网页上移动时，就不需要再进行DNS查询。

HTTPS的DNS也有一个缺点
大多数 “正常 “的互联网用户可能甚至不知道DNS是如何工作的，也不知道它到底需要做什么。对于所有这些人来说，DoH无疑是安全方面的一个巨大收获。管理员和精通技术的家庭用户很可能对整个事情看法不一。

特别是在公司，DoH的影响有时甚至会导致严重的困难。通常情况下，系统管理员使用本地DNS服务器和基于DNS的软件来过滤和监控本地流量。这主要是为了防止员工访问未经授权或危险的内容。然而，有了DoH，员工就能绕过过滤器，也能访问被阻止的内容。

而且，在DoH，你的隐私安全并没有百分之百的保证。虽然数据在客户端和解析器之间的途中是双向加密的，但供应商也有其他选择（关键词 “TLS握手 “和 “SNI”），他们可以通过这些选择追踪你访问网站的历史。

因此，还有一种DOH的替代方案，即DOT（DNS over TLS）协议，然而，两者的加密标准是一样的，只是在加密和传输的方法上有所不同。

哪些浏览器已经支持DoH？
在Mozilla Firefox上启用DNS-Over-HTTPS
Mozilla和安全服务提供商Cloudflare是DNS over HTTPS的推动者，这就是为什么Firefox（在2020年）也是第一个集成DoH的浏览器。

如何在FireFox中启用DNS over HTTPS？

打开Mozilla FireFox浏览器
后，打开设置页面，然后从左侧给出的菜单中选择常规。
或者，你也可以在浏览器的URL栏中粘贴，直接打开常规设置。about:preferences#general

之后，点击网络设置按钮。
然后向下滚动，选中Mozilla FireFox中通过HTTPS启用DNS选项的方框。

提示。Firefox默认通过Cloudflare解析器处理所有DoH请求。有关DNS处理的个人设置会被简单地忽略。另外，也可以使用 “自定义提供者 “选项将设置设置为另一个公共可用服务器的DoH解析器。

在谷歌浏览器中启用DNS-over-HTTPS
继火狐之后，谷歌浏览器是第二个配备DoH的浏览器。谷歌浏览器从83版开始提供HTTPS的DNS服务，适用于Windows和MacOS。我们可以在浏览器的安全设置中启用或禁用它。目前，这已经适用于Windows、Mac、Linux、Android和Chrome OS。

打开该功能后，Chrome浏览器将DNS请求发送到与以前相同的服务器，但如果它有一个支持DoH的接口，就会对流量进行加密。如果不是这种情况，请求就会被发送，而不会被加密。如果你目前的DNS服务提供商不支持DOH，那么请使用列表中的自定义服务提供商。

要快速打开设置，请使用这个URL–chrome://settings/security

在Microsoft Edge中启用DNS-over-HTTPS
虽然就像谷歌浏览器一样，DNS-over-HTTPS也将在微软Edge浏览器中启用，然而，如果你想设置一个自定义的，那么下面是要遵循的步骤。
在你的浏览器的URL框中复制-粘贴，并点击回车键。
之后向下滚动到 “使用安全DNS来指定如何查询网站的网络地址 “设置。
选择 “选择一个服务提供商 “选项，选择列出的提供商或添加你的一个提供商。

基于Chromium的浏览器的安全DNS
许多其他知名的浏览器（包括Opera或Vivaldi）都是基于Chromium及其Blink引擎的。因此，这些浏览器也可以使用HTTPS的DNS，并且可以像我们为Chrome浏览器所做的那样在各自的设置中激活。

注意：苹果在2020年底发布的iOS 14和macOS 11同时支持DoH和DoT协议。

如何使用Cloudflare检查DNS OVer HTTPS
在浏览器中启用安全DNS或DNS Over HTTPS后，我们可以检查以确认我们是否真的在安全DNS服务上。为此，Cloudflare提供了一项服务，称为 – 浏览体验安全检查。使用该链接并打开页面。在那里点击 “检查我的浏览器 “按钮。很快你就会得到结果。