DNS over HTTPS / TLS 如何保护隐私,提升网速?

315次阅读
没有评论

共计 2613 个字符,预计需要花费 7 分钟才能阅读完成。

从 iOS14&MacOS Big Sur 开始,苹果终于增加了对基于 HTTPS 的域名系统和基于 TLS 标准的域名系统的支持——也称为加密域名系统。

我们先了解一下基本原理,文末会提供如何配置 DOH 和 DOT 的说明,帮您解决网速慢,微信消息卡顿等问题。

那么什么是 DOH/DOT?

DNS over HTTPS / TLS 如何保护隐私,提升网速?

想象你正在使用公共 wifi 召开一个内部会议。

有多少人会知道你访问过过哪些网站?

  • 公共 wifi 的技术管理人员
  • 使用的宽带服务提供商(ISP)
  • 该网络所经过的所有 ISP/ 公司

在 2013 年之前,大多数流量都是通过 HTTP 发送的,没有任何加密。所以任何一个中间环节都能监控知道你访问了哪些网站。

现在,大多数流量都是加密的,这要归功于 HTTPS 和让我们能够加密。所有这些中间服务商虽然仍然可以看到你一直在访问某个网站——但是他们很难推断出具体是哪个页面。

那到底该用 HTTPS 还是 TLS?

如果是基于 HTTPS 的 DNS 查询,使用的是正常网页的 443 端口,中间商更难监控和审查 DNS 查询。追踪起来像普通的 HTTPS 流量,很难发现它,而基于 TLS 的 DNS 需要单独的端口 853,容易隔离排查。

虽然 DNS over TLS 可能更快,但是他的端口是独立的,因此即使请求和响应本身都已加密,具有网络可见性的任何人都能够发现来回的 DoT 流量。DoH 则相反,DNS 查询和响应伪装在其他 HTTPS 流量中,因为它们都是从同一端口进出的,隐蔽性和安全性更高。

所以,我在这里的建议是使用 DoH。

配置方法

以下通过腾讯的 DNSPOD 作为演示,

以上配置教程当中,是所有设备的配置方法,当然除了腾讯的 DNSPOD,国内外还有很多其他的 DNS 服务商地址,其他的可以参见:https://www.dongyao.ren/article/416.html

由于教程当中的安卓和 IOS 只能单独手动对单独的 wifi 进行配置,如果需要手机全局配置,可参见下方教程:

1、安卓

WLAN 和互联网 – 私人 DNS – 私人 DNS 提供商主机名称

使用 alidns 的话填 dns.alidns.com,使用 dnspod 的话,填写:dot.pub

安卓目前只支持到 dot,doh 需要第三方软件扩展,暂不推荐。

2、苹果 IOS

这里需要安装一个描述文件的配置项,github 有大神已经总结了国内外平台的配置文件。

国内主要使用 alidns 和 DNSPOD 这两家,ios 系统直接点击 https 下载,按照提示安装描述文件即可:

NameCountryCensorshipNotesInstall button
AdGuard Default🇷🇺YesOperated by AdGuard (Filters ads, tracking & phishing)HTTPSTLS
AdGuard Family🇷🇺YesOperated by AdGuard (Filters Default + malware & adult content)HTTPSTLS
AdGuard No Filter🇷🇺NoOperated by AdGuard (Non-filtering)HTTPSTLS
AliDNS🇨🇳YesOperated by Alibaba in ChinaHTTPSTLS
Alekberg🇳🇱NoIndependent hoster in NetherlandsHTTPS
BlahDNS CDN Filtered🇺🇸YesIndependentHTTPS
BlahDNS CDN Unfiltered🇺🇸NoIndependentHTTPS
BlahDNS Finland Adsblock🇫🇮YesIndependentHTTPS
BlahDNS Germany Adsblock🇩🇪YesIndependentHTTPS
BlahDNS Japan Adsblock🇯🇵YesIndependentHTTPS
BlahDNS Singapore Adsblock🇸🇬YesIndependentHTTPS
BlahDNS Swiss Adsblock🇨🇭YesIndependentTLS
Canadian Shield Private🇨🇦NoOperated by the Canadian Internet Registration Authority (CIRA)HTTPSTLS
Canadian Shield Protected🇨🇦YesFilters malwareHTTPSTLS
Canadian Shield Family🇨🇦YesFilters malware & adult contentHTTPSTLS
Cloudflare🇺🇸NoOperated by Cloudflare 1.1.1.1HTTPSTLS
Cloudflare Malware🇺🇸YesFilters malwareHTTPS
Cloudflare Family🇺🇸YesFilters malware & adult contentHTTPS
DNSPod🇨🇳YesOperated by DNSPod (Tencent) in ChinaHTTPSTLS
Google🇺🇸NoOperated by GoogleHTTPSTLS
OpenDNS🇺🇸NoOperated by OpenDNSHTTPS
OpenDNS Family🇺🇸YesFilters malware & adult contentHTTPS
Quad9🇨🇭YesOperated by CleanerDNS, Inc. Filters malwareHTTPSTLS
Quad9 With ECS🇨🇭YesOperated by CleanerDNS, Inc. Filters malwareHTTPSTLS
Tiar.app🇸🇬 🇺🇸Yes“Privacy-first DNS provider” from SG, hosted on Digital Ocean. Filters malwareHTTPSTLS
正文完
加入官方交流QQ群:778957856
post-qrcode
 
clark
版权声明:本站原创文章,由 clark 2023-01-03发表,共计2613字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
评论(没有评论)