DNS over HTTPS

✍ dations ◷ 2025-10-22 16:36:35 #域名,互联网域名,密码学

DNS over HTTPS（缩写：DoH）是一个进行安全化的域名解析方案。其意义在于以加密的HTTPS协议进行DNS解析请求，避免原始DNS协议中用户的DNS解析请求被窃听或者修改的问题（例如中间人攻击）来达到保护用户隐私的目的。Google及Mozilla基金会正在测试此协议，提高网络安全性。

目前，该方案由IETF支持，其规范文档以 RFC 8484 的名义发布。2018年9月5日发布的Firefox 62正式版加入了这项功能，但需要用户手动开启。

DNS over HTTPS利用HTTP协议的GET命令发出经由JSON等编码的DNS解析请求。较于传统的DNS协议，此处的HTTP协议通信处于具有加密作用的SSL/TLS协议（两者统称作HTTPS）的保护之下。但是，由于其基于HTTPS，而HTTPS本身需要经由多次数据来回传递才能完成协议初始化，其域名解析耗时较原DNS协议会显著增加。

基于HTTPS的DNS是尚在提议阶段的标准，由IETF以RFC 8484（2018年10月）发布。它使用HTTP / 2和HTTPS，并支持有线格式DNS响应数据，如现有UDP响应中所返回的，在具有MIME类型application / dns-message的HTTPS有效负载中。如果使用HTTP / 2，服务器也可以使用HTTP / 2服务器推送来发送它预期客户端可能提前发现有用的值。

传统的DNS协议形成于互联网早期，直接基于UDP或TCP协议，且彼时未虑及现代安全性的需要，未利用密码学等手段进行加密或验证。因而，其无法抵御现代互联网常见的DNS投毒污染等攻击手段或监听。虽然后来的DNSSEC方案通过电子签名进行验证，强化了DNS的安全性，并能够抵御DNS投毒污染等篡改通信的手段，但其对于中间网络设备进行的监听仍然没有抵御能力（随后，监听者可以通过获取的通信数据知晓用户访问了哪一域名，而域名往往与具体的网站相关系）。此外，DNSSEC的起效要求现有的大量DNS解析服务的提供商（常为互联网服务提供商或第三方大型互联网机构）对已有的DNS服务器进行大范围修改等问题，其推进进程并不理想。而对于DNS over HTTPS，在正确部署服务端并妥善配置客户端的前提下，互联网服务提供商或其它中间网络设备无法解密（亦即无法获知请求的实际内容）或者篡改已经加密的HTTPS通信，故其能够有效保护互联网用户的安全及隐私；另一方面，其基于已经成熟并已广泛部署的HTTPS协议，客户端进行利用较为方便。

DNS over https用于DNS解析器的递归DNS解析。解析器（DoH客户端）必须能够访问托管查询端点的DoH服务器。基于HTTPS的DNS缺乏操作系统的本机支持。因此，希望使用它的用户必须安装附加软件。三种使用场景很常见：

1.在应用程序中使用DoH实现：某些浏览器具有内置的DoH实现，因此可以绕过操作系统的DNS功能来执行查询。缺点是应用程序可能无法通过错误配置或缺乏对DoH的支持来通知用户是否跳过DoH查询。

2.在本地网络中的名称服务器上安装DoH代理：在此方案中，客户端系统继续使用传统（端口53或853）DNS来查询本地网络中的名称服务器，然后通过到达来通过DoH收集必要的回复互联网中的DoH服务器。此方法对最终用户是透明的。

3.在本地系统上安装DoH代理：在此方案中，操作系统配置为查询本地运行的DoH代理。与前面提到的方法相反，需要在希望使用DoH的每个系统上安装代理，这可能需要在更大的环境中付出很多努力。

4.为操作系统安装DoH解析插件

在所有这些方案中，DoH客户端不直接查询任何权威名称服务器。相反，客户端依赖于使用传统（端口53或853）查询的DoH服务器来最终到达权威服务器。因此，DoH不具备端到端加密协议的资格，只有逐跳加密且仅在始终使用DNS over TLS时才有资格。

DNS over HTTPS 功能已由部分公共DNS支持。列表如下：

https://1.1.1.1/dns-query
https://1.0.0.1/dns-query
https:///dns-query
https:///dns-query
https:///dns-query
https:///dns-query
https://security.cloudflare-dns.com/dns-query
https://family.cloudflare-dns.com/dns-query

https://dns.google/resolve
https:///dns-query
https:///dns-query

https://223.6.6.6/dns-query
https:///dns-query
https:///dns-query

https://dns9.quad9.net/dns-query
https://dns10.quad9.net/dns-query
https://dns11.quad9.net/dns-query

https://doh.familyshield.opendns.com

成人内容

设置好后，在地址栏输入 about:networking 可以看到具体通信情况

2019年11月17日，一篇在微软官方博客释出的博文宣布，Windows 将支持 DNS over HTTPS（DoH)，以加密 DNS 流量保护用户隐私。

相关

武尔卡诺岛武尔卡诺岛（Vulcano）是意大利第勒尼安海中的一个火山岛，在西西里岛以北25千米，是伊奥利亚群岛8个岛中位置最靠南的一个。面积21平方千米，海拔500米。岛上有意大利四个活跃的非海
天照大神日神（日语：日神／ひのかみ Hi no kami〔Pi no kami〕），一般称作天照大神（日语：天照大神／あまてらすおおかみ〔あまてらすおほかみ〕 Amaterasu-ōkami〔Amatelatsu-opokami〕），或
内田康哉(1865-11-17)1865年11月17日日本肥后国八代郡竜北（今内田康哉（1865年11月17日－1936年3月12日），日本外交官。出生于熊本藩士家庭。从东京帝国大学法科毕业后进入外务省，先后三
相互决定论相互决定论（reciprocal determinism），是行为科学的理论，由班杜那提出。根据这个观点，环境会决定人的行为，人的行为亦会决定环境。环境会塑造一个人的认知结构，像信念及期望。而人的
布宜诺斯艾利斯省布宜诺斯艾利斯省（Buenos Aires）为南美国家阿根廷二十三省之一，是阿根廷人口最多的省份。它位于阿根廷东部临海处，首府为拉普拉塔。布宜诺斯艾利斯原本属于该省，但在1880年独立。
联合国常务副秘书长联合国常务副秘书长是联合国秘书处的一个事务首长。这一职位是在第七任联合国秘书长科菲·安南的提议下，于1998年联合国大会通过的《第51/12B号决议》所设立。虽然常务副秘书
安娜·施瓦茨安娜·雅各布森·施瓦茨（英语：Anna Jacobson Schwartz，1915年11月11日－2012年6月21日），生于美国纽约州纽约市，著名经济学家与经济史家，专长于货币经济学。她长期任职于美国全国经济
施塔费尔湖施塔费尔湖（德语：Staffelsee），是德国的湖泊，位于该国东南部，由巴伐利亚负责管辖，处于加米施-帕滕基兴县，长4.6公里、宽3.8公里，面积7.7平方公里，海拔高度649米，平均水深9.8米，最大水深39
碘化镉碘化镉（化学式：CdI2）是由碘和镉组合成的一种化合物。它是一种有强烈的极化作用的MX2化合物晶体。碘化镉可用于平版印刷术, 影像学, 电镀和荧光体的工业产品碘化镉可由镉的二氧
安全控件安全控件是针对特定操作系统和网页浏览器开发的插件，以维持金融服务端和客户端信息保密，常见于中国和韩国。由于HTTP采用明文方式交换数据，安全控件会在客户端对密码等关键数据