本文描述了基于 HTTPS 的 DNS 功能,以及如何激活、修改设置或禁用此功能。
目录
关于基于 HTTPS 的 DNS
当您在地址栏中键入网址或域名(例如:www.mozilla.org)时,浏览器会通过互联网发送请求以查找该网站的 IP 地址。在以前,此请求通过纯文本连接发送到服务器。此连接未被加密,这使得第三方可以轻松查看您要访问的网站。 基于 HTTPS 的 DNS(DoH)的工作方式不同。它使用加密的 HTTPS 连接而不是纯文本连接将您键入的域名发送到 DoH 兼容的 DNS 服务器。这可以防止第三方看到您试图访问的网站。
保障
DoH 通过向隐藏在公共 WiFi 上的某人、您的 ISP 或本地网络上的其他任何人隐藏域名查找来提高隐私。DoH 启用后,可确保您的 ISP 无法收集和销售与您的浏览行为相关的个人信息。
风险
- 一些个人和组织依赖 DNS 来阻止恶意软件、启用家长控制或过滤浏览器对网站的访问。启用后,DoH 将绕过您的本地 DNS 解析器并禁用这些特殊策略。DoH 默认为用户启用,当它干扰到首选策略时,Firefox 允许用户(通过设置)和组织(通过企业策略和 Canary 域查找)禁用 DoH。
- 当 DoH 开启时,Firefox 默认发送 DoH 查询至我们可信任的合作伙伴开设的 DNS 服务器,而他们能够看到用户的查询请求。 Mozilla 设置了严格的 可信递归解析器 (TRR) 政策 来禁止我们的合作伙伴收集个人识别信息。为了减轻这种风险,我们的合作伙伴有合同义务遵守此政策。
- DoH 可能比传统的 DNS 查询慢,但在测试中我们发现 影响已经最小化并且在许多场景下 DoH 更快。
关于基于 HTTPS 的 DNS 的发布
我们在 2019 年和 2021 年默认向所有美国 Firefox 桌面用户和所有加拿大 Firefox 桌面用户完成了 DoH 的发布。我们于 2022 年 3 月开始默认向俄罗斯和乌克兰 Firefox 桌面用户发布。我们现在正针对更多国家进行 DoH 发布。同时,DoH 发布将对用户采取“回退”的模式。例如,如果使用 DoH 查找域名失败,那么 Firefox 将回退到使用操作系统默认设置的 DNS 而不是报错。
选择不使用 DoH
如果您是在我们默认推出 DoH 的区域中的现有 Firefox 用户,您将于首次启用 DoH 时在 Firefox 中收到通知,您可以选择不使用 DoH,而是继续使用您的默认 OS DNS 解析器。
此外,Firefox 还会检查某些会受到 DoH 影响的功能,包括:
- 家长控制是否启用?
- 默认 DNS 服务器是否在过滤潜在的恶意内容?
- 该设备是否由带特定 DNS 配置的机构所管理?
如果检查表明 DoH 可能会影响到这些功能,那么 DoH 也不会被启用。每次设备接入不同的网络时,都会做这些检查。
启用、禁用和配置基于 HTTPS 的 DNS
请参看 在 Firefox 中配置基于 HTTPS 的 DNS 保护级别 一文。
手动启用和禁用基于 HTTPS 的 DNS
您可以在 Firefox 连接设置 中启用或禁用 DoH:
- 在屏幕上方的菜单栏里点击 并(根据 macOS 的版本不同)选择 或 。点击菜单按钮 并选择 。
- 在 面板中,向下滚动到 网络设置,然后点击 按钮。
- 在打开的对话框中,向下滚动到 启用基于 HTTPS 的 DNS。
- 开启:勾选 启用基于 HTTPS 的 DNS 勾选框。
- 选择提供方或设置自定义提供方(见下文)。
- 关闭:取消勾选 启用基于 HTTPS 的 DNS 复选框。
- 开启:勾选 启用基于 HTTPS 的 DNS 勾选框。
- 单击 保存更改并关闭窗口。
切换提供方
- 在屏幕上方的菜单栏里点击 并(根据 macOS 的版本不同)选择 或 。点击菜单按钮 并选择 。
- 在 面板中,向下滚动到 网络设置 并点击 按钮。
- 点击 启用基于 HTTPS 的 DNS 下面的 使用提供方 下拉列表选择提供方。
- 你也可以选择 自定义 来设置自定义提供方。
- 单击确定保存更改并关闭窗口。
排除特定域名
您可以配置例外,以便 Firefox 使用您的系统解析器而不是 DoH:
请务必在您对高级设置十分熟悉并了解潜在影响的情况下才这么做。
- 在 地址栏 里输入about:config,然后按 回车。
有时会出现警告页面。点击 ,以打开 about:config 页面。 - 搜索 network.trr.excluded-domains。
- 点击其旁边的 修改 按钮 。
- 将域(以逗号分隔)添加到列表中,然后点击复选标记 以保存更改。
关于子域: Firefox 将检查您在 network.trr.excluded-domains 中列出的所有域及其子域。例如,如果您输入 example.com,Firefox 也会排除 www.example.com。
配置网络以禁用 DoH
加密客户端 (ECH)
从 Firefox 版本 118 起,我们逐步推出一项重要的安全功能:Encrypted Client Hello (ECH)。它的主要作用是加强在线交互初始 握手 连接的安全。ECH 与基于 HTTPS 的 DNS (DoH) 互相配合,使浏览安全更上一个台阶:
- DoH 作为前提:在 Firefox 中,ECH 依赖 DoH 获取必要的 握手 密钥。没有 DoH,ECH 无法工作。
- 协同保护:DoH 通过加密 DNS 请求有效保护 IP 到网址的翻译。另一方面,ECH 注重加密用户和网站之间的初始交互。联合起来,它们对许多在线威胁形成了全面的防御。
- 增强保护:有了 ECH 和 DoH,用户的隐私获得增强双层保护,降低潜在的漏洞并增强在线的安全。
请确保打开 Firefox 的 DoH 以获得全面的 ECH 安全增强。更多信息,请参看 弄懂 Encrypted Client Hello (ECH:加密客户端) 和 Encrypted Client Hello (ECH)——常见问题。