在整个互联网的历史中，传统的域名系统（DNS）流量（例如，用户访问特定网站的请求）基本上未加密。这意味着，只要您在“互联网电话簿”中查找网址，请求所涉及的DNS价值链中的每一方都可以调查那些查询和响应，甚至可以对其进行修改。加密的DNS（例如使用基于HTTPS的DNS（DoH）的DNS）可以改变这种情况。

苹果，Mozilla，微软和谷歌等许多大型互联网公司正在通过DoH在其服务和应用程序中实施加密的DNS。Mozilla是早期采用者，最早于2018年末在美国的浏览器中实现DoH，而Apple则在2020年秋季通过iOS 14和macOS 11更新实现了DoH，而Google正在通过Chrome推出DoH安卓

互联网的全球电话簿

域名系统（DNS）基本上充当互联网的电话簿。如果我们认为顶级域名（网址的最右边部分，如.com，.org或.info）等同于国家或地区代码，则第二级（对于国际域名， （.eco.de，这将是.eco。）作为公司总机号码，而第三级（国际）是特定的扩展名，则可以了解此目录的编译方式以及计算机的运行方式找到他们想要访问的服务。

DNS解析程序负责查找您在计算机或电话中键入的Internet资源（例如网站）。设备本地连接到的第一个DNS解析器是家庭或办公室路由器，或公共热点。该解析器遵循一系列步骤，检查设备上是否有任何预先配置的设置，或者是否有以前访问给定网站的记录（称为缓存）。如果失败，解析器会将DNS查询转发到下一个解析器，例如您所连接的Internet服务提供商（ISP）的DNS查询。该解析器将按照相同的步骤进行操作，最后，如果其他所有操作均失败，将继续在“ Internet电话簿”中查找该域。

DoH保护用户免受哪些风险？

DoH协议开发中追求的一个目标是通过防止窃听和操纵DNS数据来提高用户隐私和安全性。DNS流量的加密可保护您免受恶意行为者将您重定向到其他（恶意）目的地的可能性，例如，伪造的银行网站而不是您想要访问的真实网站。这种网络攻击称为中间人（MITM）攻击。通过DoH（或相关的DoT协议）加密DNS是当今唯一可用的现实解决方案。DNS数据的货币化（例如出于营销目的）是DoH开发人员也希望解决的潜在且现实的隐私问题。

保护公共网络中的用户

当您在旅馆，咖啡店等使用公共无线（Wi-Fi）网络时，来自移动设备的DNS查询数据可能会用于分析您的行为并跨网络进行跟踪。这些DNS服务通常是全球一体化的Wi-Fi解决方案的一部分-这些服务可能无法很好地适应当地的隐私法律，并且可能无法启用隐私保护配置。此外，免费的公共Wi-Fi服务（尤其是由小型企业运营或提供的服务）通常在安全性和性能方面管理不善，使您容易受到来自其网络内部的攻击。

由于绕过Wi-Fi网络的DNS解析器，DoH保护这些公共无线网络中的用户，从而防止用户在此级别跟踪和操纵数据。因此，DoH提供了在不受信任的环境中保护通信的机会。

DoH有什么变化？

HTTPS协议上的DNS本身仅更改设备与解析器进行通信的传输机制。使用众所周知的HTTPS协议对请求和响应进行加密。当前，鉴于尚未部署许多DoH解析器，并且仍在进行技术上使“ DoH解析器”被“发现”的工作仍在进行中，使用DoH的DNS请求通常会绕过本地解析器，而是由外部第三方处理已经由各自的软件开发人员或制造商提名的DoH提供程序。在决定是否提供自己的DoH服务时，越来越多的提供商正在处理中。

我要在公司网络中使用DoH吗？

尽管DoH是在使用公共热点时保护自己的有用方法，但对于受信任的网络环境（例如从您信任的ISP获得的公司网络或Internet访问服务），它并不是首选的选择。例如，您的公司可能有正当理由禁止应用程序忽略和覆盖系统默认值-这甚至可能被视为潜在危害，因为网络管理员无法在网络内对其进行控制。

如果DoH是在系统级别而不是应用程序级别实现的，则与公司网络有关的许多担忧都会消失。例如，在系统级别，公司网络管理员可以配置系统并创建策略，以确保只要设备在公司网络上，就应使用公司解析器，但必须确保设备在网络上。在公共网络中，应该使用DoH来提高安全性和隐私性。但是，如果DoH在应用程序级别上默认实现，则会绕过这些不同的配置。

关于通过DoH使用外部DNS解析的其他许多问题-从可能的响应时间缓慢到规避父母控制和法律强制阻止。但是总的来说，DoH的许多潜在弊端可以被许多优势抵消，具体取决于上下文。

毫无疑问：加密DNS可提高用户安全性和隐私性。卫生部可以提供一种简便的方法。但是，如果您确实激活DoH，请确保告知自己谁将负责DoH分辨率，他们如何处理数据以及是否可以在需要时轻松关闭它。