瀏覽器加入DNS 加密的「DNS on HTTPS」(DoH)技術,有望把個人互聯網瀏覽履歷加密保護,提升用戶私隱,現在Google Chrome 與Firefox 都試驗性地加入此功能。微軟Microsoft 亦向外發表贊同此項技術,并表示未來Windows 10 也將會支援DoH 瀏覽履歷加密功能。
「DNS on HTTPS」(DoH)是一個域名安全化的新技術方案,用戶需要瀏覽一個網站時,會向外發送DNS 解析請求進行HTTPS 加密。微軟認為要把DNS 去中心化,需要用戶作業系統與ISP 都要支援加密DNS;在系統層面引入「DNS on HTTPS」(DoH)技術,可以令整個互聯網生態更為健全。
加入此技術時,微軟認為前提是在不打擾用戶與應用程式。Windows DNS 必須為預設啟動、毋須用戶進行復雜的設定、用戶就算不知道什么是DNS 都會被引導到設定頁面,還有在未有明顯指令之下,不允許使用未加密DNS 作為后備服務。
未來微軟會在Windows 加入更多私隱工具,讓用戶更易找到相關設定。
今天我花了三個小時仔細研究了Windows的DNS加密(DoH)相關的內容,最終成功開啟了國內可用的DNS加密功能,如果你還不知道什么是DoH并對原理感興趣,可以參考這篇文章:https://zhuanlan.zhihu.com/p/365093156,話不多說,上干貨。
我需要一個一勞永逸的保障DNS安全的方案,此次Windows添加的DNS功能就是個很好的契機,所以開始之前,我設定了兩個核心目標:
考慮到8.8.8.8(或1.1.1.1)的特殊情況,這次我選擇了OpenDNS的公共服務(208.67.222.222;208.67.220.220),在國內能有200ms的穩定ping值(聯通網絡),并且路由線路比較好。
當然你也可以選擇國內的一些支持DoH服務商(比如223.5.5.5),速度會更快一些。
設置的時候我發現Windows11 只支持少數幾個DoH服務商(比如8.8.8.8等),難道就無法自定義嗎?然后我進一步研究嘗試出了自定義的方法(此篇文章的含金量就在這里)
1.首先我們windows鍵+x以管理員身份打開一個Windows終端(其實就是PowerShell)
2.然后看一下Windows默認支持的有哪些DoH服務商
(除了Quad9,其它的知名DNS服務商因為特殊原因大家都無法使用DoH,但是Quad9的DNS服務線路不佳,請求容易失敗)
3.接下來我們添加OpenDNS作為加密DNS服務商模板:
netsh dns add encryption 208.67.220.220 "https://208.67.220.220/dns-query" no no
netsh dns add encryption 208.67.222.222 "https://208.67.222.222/dns-query" no no
4.我們netsh dns show encryption再確認一下:
5.接下來打開“網絡和Internet設置”,選擇以太網(如果電腦是用的Wifi就選Wifi),點擊編輯(編輯DNS服務)
6.在這里我們手動設置DNS服務器為208.67.220.220和208.67.222.222,這里我們為了驗證DoH效果,選擇了“僅加密(通過HTTPS的DNS)”,你也可以選擇“已加密的首選、未加密的允許”以實現DNS回滾(回滾的時候就又是訪問的53端口的常規DNS了)
7.Ipconfig /flushdns 清理一下DNS緩存
8.打開瀏覽器看一下是否可以正常訪問網站,如果一切正常,我們便用上了系統級別的DNS安全服務(以前我是在瀏覽器里單獨設置DoH的),如果失敗,則會出現無法獲取DNS解析的情況(需要仔細檢查一下操作步驟)。
DNS服務安全至關重要,如果你對目前的上網環境不是很滿意,懷疑可能有DNS污染問題,不妨按照本文的方法一試,如果有幫到你一點點,給個贊唄!如果你有更多問題,我們評論區見。