Firefox 基于 HTTPS 的 DNS 功能

Firefox Firefox 最后更新于: 100% 的用户认为有帮助

本文描述了基于 HTTPS 的 DNS 功能,以及如何激活、修改设置或禁用此功能。

关于基于 HTTPS 的 DNS

当您在地址栏中键入网址或域名(例如:www.mozilla.org)时,浏览器会通过互联网发送请求以查找该网站的 IP 地址。在以前,此请求通过纯文本连接发送到服务器。此连接未被加密,这使得第三方可以轻松查看您要访问的网站。 基于 HTTPS 的 DNS(DoH)的工作方式不同。它使用加密的 HTTPS 连接而不是纯文本连接将您键入的域名发送到 DoH 兼容的 DNS 服务器。这可以防止第三方看到您试图访问的网站。

保障

DoH 通过向隐藏在公共 WiFi 上的某人、您的 ISP 或本地网络上的其他任何人隐藏域名查找来提高隐私。DoH 启用后,可确保您的 ISP 无法收集和销售与您的浏览行为相关的个人信息。

风险

  • 一些个人和组织依赖 DNS 来阻止恶意软件、启用家长控制或过滤浏览器对网站的访问。启用后,DoH 将绕过您的本地 DNS 解析器并禁用这些特殊策略。DoH 默认为用户启用,当它干扰到首选策略时,Firefox 允许用户(通过设置)和组织(通过企业策略和 Canary 域查找)禁用 DoH。
  • 当 DoH 开启时,Firefox 默认发送 DoH 查询至我们可信任的合作伙伴开设的 DNS 服务器,而他们能够看到用户的查询请求。 Mozilla 设置了严格的 可信递归解析器 (TRR) 政策 来禁止我们的合作伙伴收集个人识别信息。为了减轻这种风险,我们的合作伙伴有合同义务遵守此政策。
  • DoH 可能比传统的 DNS 查询慢,但在测试中我们发现 影响已经最小化并且在许多场景下 DoH 更快

关于基于 HTTPS 的 DNS 的发布

我们在 2019 年和 2021 年默认向所有美国 Firefox 桌面用户和所有加拿大 Firefox 桌面用户完成了 DoH 的发布。我们于 2022 年 3 月开始默认向俄罗斯和乌克兰 Firefox 桌面用户发布。我们现在正针对更多国家进行 DoH 发布。同时,DoH 发布将对用户采取“回退”的模式。例如,如果使用 DoH 查找域名失败,那么 Firefox 将回退到使用操作系统默认设置的 DNS 而不是报错。

选择不使用 DoH

如果您是在我们默认推出 DoH 的区域中的现有 Firefox 用户,您将于首次启用 DoH 时在 Firefox 中收到通知,您可以选择不使用 DoH,而是继续使用您的默认 OS DNS 解析器。

OptIn_Infobar

此外,Firefox 还会检查某些会受到 DoH 影响的功能,包括:

  • 家长控制是否启用?
  • 默认 DNS 服务器是否在过滤潜在的恶意内容?
  • 该设备是否由带特定 DNS 配置的机构所管理?

如果检查表明 DoH 可能会影响到这些功能,那么 DoH 也不会被启用。每次设备接入不同的网络时,都会做这些检查。

启用、禁用和配置基于 HTTPS 的 DNS

请参看 在 Firefox 中配置基于 HTTPS 的 DNS 保护级别 一文。

手动启用和禁用基于 HTTPS 的 DNS

您可以在 Firefox 连接设置 中启用或禁用 DoH:

  1. 在屏幕上方的菜单栏里点击 Firefox 并(根据 macOS 的版本不同)选择 首选项设置点击菜单按钮 Fx89menuButton 并选择 设置
  2. 常规 面板中,向下滚动到 网络设置,然后点击 设置… 按钮。
  3. 在打开的对话框中,向下滚动到 启用基于 HTTPS 的 DNS
    • 开启:勾选 启用基于 HTTPS 的 DNS 勾选框。
      选择提供方或设置自定义提供方(见下文)。
    • 关闭:取消勾选 启用基于 HTTPS 的 DNS 复选框。
    DoH_EnableFx111DoH_Enable
  4. 单击 确定 保存更改并关闭窗口。

切换提供方

  1. 在屏幕上方的菜单栏里点击 Firefox 并(根据 macOS 的版本不同)选择 首选项设置点击菜单按钮 Fx89menuButton 并选择 设置
  2. 常规 面板中,向下滚动到 网络设置 并点击 设置… 按钮。
  3. 点击 启用基于 HTTPS 的 DNS 下面的 使用提供方 下拉列表选择提供方。
    DoH_ProviderFx111DoH_Provider
  4. 你也可以选择 自定义 来设置自定义提供方。
    Fx99DoH_Custom_Provider
  5. 单击确定保存更改并关闭窗口。

排除特定域名

您可以配置例外,以便 Firefox 使用您的系统解析器而不是 DoH:

警告:这些说明是为有经验的 Firefox 用户提供的。在配置编辑器about:config)中更改设置,可能会严重影响您浏览器的稳定性、安全性和性能。
请务必在您对高级设置十分熟悉并了解潜在影响的情况下才这么做

  1. 地址栏 里输入about:config,然后按 回车
    有时会出现警告页面。点击 接受风险并继续,以打开 about:config 页面。
  2. 搜索 network.trr.excluded-domains
  3. 点击其旁边的 修改 按钮 Fx71aboutconfig-EditButton
  4. 将域(以逗号分隔)添加到列表中,然后点击复选标记 Fx71aboutconfig-Checkmark 以保存更改。
请勿从列表中删除任何域。

关于子域: Firefox 将检查您在 network.trr.excluded-domains 中列出的所有域及其子域。例如,如果您输入 example.com,Firefox 也会排除 www.example.com。

配置网络以禁用 DoH

加密客户端 (ECH)

Firefox 版本 118 起,我们逐步推出一项重要的安全功能:Encrypted Client Hello (ECH)。它的主要作用是加强在线交互初始 握手 连接的安全。ECH 与基于 HTTPS 的 DNS (DoH) 互相配合,使浏览安全更上一个台阶:

  • DoH 作为前提:在 Firefox 中,ECH 依赖 DoH 获取必要的 握手 密钥。没有 DoH,ECH 无法工作。
  • 协同保护:DoH 通过加密 DNS 请求有效保护 IP 到网址的翻译。另一方面,ECH 注重加密用户和网站之间的初始交互。联合起来,它们对许多在线威胁形成了全面的防御。
  • 增强保护:有了 ECH 和 DoH,用户的隐私获得增强双层保护,降低潜在的漏洞并增强在线的安全。

请确保打开 Firefox 的 DoH 以获得全面的 ECH 安全增强。更多信息,请参看 弄懂 Encrypted Client Hello (ECH:加密客户端)Encrypted Client Hello (ECH)——常见问题

这篇文章对您有帮助吗?

请稍候...

此文章在这些用户的协助下写成:

Illustration of hands

志愿者

分享知识并培养专业技能。解答问题并改进我们的知识库。

详细了解