我们知道,https可以防止运营商劫持网页,防止运营商在网页里面插入广告,防止运营商和中间人进行劫持。

使用了https之后,运营商不会看到我们在网页上的动作。但是此前在域名解析(DNS)领域,还没有https,也就是说运营商还是可以看到我们浏览了什么网址。

为了防止这种情况,许多浏览器都开启了DoH( DNS over HTTPS ,一种依赖于https的域名解析系统)。这一个协议可以让DNS查询得到保密,从而防止未经授权的各方窃听你的网络流量,从而提升用户隐私和安全性。

DoT( DNS over TLS )是基于TLS的域名解析系统,而不是基于https。

DoT和DoH可以加密浏览器和DNS服务器之间的请求。如果没有使用DoT或DoH,那么你上网的过程就是这样的:

我:浏览器,我要访问百度。

浏览器:DNS,快告诉我,百度的IP地址。

DNS:浏览器,百度的IP地址是14.215.177.38。

这个时候,浏览器和DNS服务器的交流是明文的,你的上网过程有可能被窃取。但如果你使用了DoT或DoH,那么你的上网过程就是这样的:

我:浏览器,我要访问百度。

浏览器:DNS,*****

DNS:浏览器,*****

怎么样?体会到了DoT或DoH的好处了吧?但就像磁力链接,DoT和DoH也为防控带来更大难度。

假设你要通过防火墙来对用户访问进行限制,DoT和DoH会让你看不到DNS请求,从而使你的阻止无效。

再接着,我们如何开启DoT或DoH?

华为手机需要找到“加密DNS”,小米手机需要找到“私人DNS”,不同的机型对于这个东西的描述不同,具体还需要根据机型进行搜索。

设置的时候需要提供私人运营商主机名,DoT可以选择输入dot.360.cn,DoH可以选择输入doh.pub。在公共加密DNS提供商收集里还有更多公共加密DNS提供商可以选择。

作者在搜集资料的时候,参考了:DoH and DoT: What They Mean & Should You Care?