所有主要的瀏覽器都已支持DoH。用戶只需啟用它並進行配置。
六大瀏覽器供應商都計劃支持DNS-over-HTTPS(即DoH),該協議可對DNS流量進行加密,有助於改善用戶在互聯網上的隱私。
DoH協議一直是今年的熱門話題之一。該協議部署在瀏覽器中後,讓瀏覽器可以將DNS請求和響應隱藏在平常的HTTPS流量中。
這麼做使第三方網絡觀察者(比如ISP)看不見用戶的DNS流量。不過雖然用戶喜歡DoH,認為它有利於保護隱私,ISP、網絡運營商和網絡安全供應商卻很討厭它。
英國一家ISP炮轟計劃部署DoH的Mozilla是“互聯網惡棍”;而康卡斯特資助的一個遊說團體被發現在準備一份有關DoH的誤導性文件,他們計劃將該文件提交給美國立法者,希望阻止DoH的廣泛部署。
然而這可能為時已晚。ZDNet在過去這周聯繫了各大網絡瀏覽器供應商,以瞭解它們在DoH方面的未來計劃,所有供應商都計劃以某一種形式發佈該功能。
以下是我們目前瞭解的每家瀏覽器供應商在DoH方面的計劃以及用戶如何可以在各款瀏覽器中啟用DoH。
Brave
Brave隱私和安全部門產品經理Tom Lowenthal昨天對ZDNet表示:“我們絕對想要實施該功能。”
然而,Brave團隊還沒有給出DoH部署的確切時間表。這是由於Brave開發人員一直在忙於注重隱私的其他改進。
比如說昨天,該公司發佈了更新,改進了檢測用戶指紋腳本的機制。此外,v1.0穩定版即將發佈,因此Brave團隊需要先關注該版本。
不過,DoH會進入到Brave。
Lowenthal說:“不過,實施DoH不僅僅是技術性工作。我們需要為絕大多數不考慮DNS配置的人確定明智的保護性默認設置,同時確保沒有給精心優化配置的人員和組織帶來破壞。”
由於Brave基於Chromium開源瀏覽器代碼庫而建,現在可獲得DoH支持功能。然而,Brave團隊尚未根據其自己的喜好配置該功能。它就在代碼庫中,但遵循谷歌Chrome團隊設計的初衷(Chrome下有介紹)。
可以通過訪問以下URL:brave://flags/#dns-over-https在Brave中啟用DoH。
Chrome
Google Chrome是繼Firefox之後添加DoH支持的第二款瀏覽器。可以通過訪問該URL:chrome://flags/#dns-over-https在Chrome中啟用DoH:
默認情況下並不為所有人打開DoH。谷歌目前在少數用戶當中進行有限的試驗,瞭解DoH在實際測試中的表現如何。
不像Firefox在默認情況下迫使所有DoH流量發送到Cloudflare,Chrome的DoH支持功能不一樣。
在Chrome中啟用DoH後,瀏覽器會將DNS查詢發送到與以前相同的DNS服務器。如果目標DNS服務器有支持DoH的接口,Chrome將對DNS流量進行加密,並將其發送到同一臺DNS服務器的DoH接口。
這可以防止Chrome劫持操作系統的DNS設置,這是企業環境下的明智做法。
目前,Chrome的DoH支持其工作方式如下:
用戶在瀏覽器中輸入網站網址
Chrome瀏覽器查看操作系統的DNS服務器
Chrome查看該DNS服務器是否在已批准的支持DoH的DNS服務器的白名單中
如果在,Chrome將加密的DoH DNS查詢發送到該DNS服務器的DoH接口
如果不在,Chrome將常規的DNS查詢發送到同一臺服務器
由於谷歌在Chrome中實現DoH支持的方式,用戶可能永遠無法使用DoH。這是由於用戶的操作系統從中心網絡授權機構(通常是ISP)獲得其DNS設置。如果ISP不想使用對DoH友好的DNS設置,那麼你永遠都無法在Chrome中使用DoH。
好消息是,不管你ISP的DNS設置如何,有兩種規避方法可以迫使Chrome始終使用DoH。
首先,本教程(https://www.zdnet.com/article/how-to-enable-dns-over-https-doh-in-google-chrome/)介紹了在Chrome中強制啟用DoH。其次,用戶可以為其操作系統配置自定義的對DoH友好的DNS服務器。他們可以從該列表(https://www.chromium.org/developers/dns-over-https)中選擇一個,確保可以在Chrome中使用。
Edge
明年,微軟計劃推出用Chromium代碼庫重建的新版本Edge瀏覽器。
微軟發言人告訴ZDNet,該公司支持DoH,但無法透露確切計劃。
然而,基於Chromium的Edge版本已經支持DoH。用戶可以通過訪問該URL:edge://flags/#dns-over-https來啟用它。
這將打開DoH,但除非你的計算機使用支持DoH的DNS服務器(99%的情況下不使用這種服務器),否則它無法正常工作。
想在Edge中強制啟用DoH並一直正常使用,你可以按照以下推文中列出的步驟進行操作。
可以將Cloudflare DoH解析器的地址換成所需的任何其他DoH服務器。
一旦正確配置,Edge即可在DoH上運行,請參閱下面的屏幕截圖。
Firefox
Mozilla是與Cloudflare率先開發DoH的組織。Firefox的穩定版已提供DoH支持。可以通過瀏覽器的“網絡”部分中的“設置”部分來啟用它。
大家批評Firefox的DoH實現的原因是,Firefox將Cloudflare用作所有人的默認DoH服務器,實際上覆蓋了所有人的本地DNS設置。
但是誰都可以將此默認設置更改為所需的任何其他DoH服務器。在所有瀏覽器中,Firefox的DoH支持功能最強大,也最容易配置,主要是由於它在這方面開發的時間比任何公司都要久。
該組織目前默認為美國的所有用戶啟用DoH。在英國政府反對該功能後,默認情況下不會為英國用戶啟用DoH。
過去,Mozilla對在美國以外的其他地區默認啟用DoH的計劃不置可否。然而,由於DoH支持已經出現在該瀏覽器的穩定版中,因此用戶只需啟用它,它可以正常使用。
Opera
Opera已經推出了DoH支持。該功能對所有用戶關閉,但可以在穩定版中隨時啟用,也無需用戶執行任何其他步驟即可使用。
這是由於Opera開發人員使用默認的DoH解析器(類似Firefox),不是像Chrome那樣交由ISP。目前,所有的Opera DoH流量傳輸到Cloudflare的1.1.1.1 DoH解析器。
我們找不到用戶將DoH解析器改為自定義服務器的方法,但至少DoH在Opera中可以使用。
但如果你使用Opera的內置VPN系統,它無法正常工作。必須禁用VPN功能,DoH才能正常工作。
要在Opera中啟用DoH,請訪問opera://flags/opera-doh。
Vilvadi
Vilvadi發言人稱,其DoH支持與Chrome的實現方法緊密相關。用戶可以通過訪問vivaldi://flags/#dns-over-https來啟用它。
然而,由於Vivaldi中的DoH其工作原理與Chrome中的一樣,因此除非用戶使用還有DoH接口的DNS服務器,否則它不會對DNS查詢進行加密。
最有可能的是,如果你想讓DoH在Vivaldi中工作,並一直使用它,需要將其中一臺對DoH友好的DNS服務器添加到操作系統的DNS設置。我們通過使用1.1.1.1作為操作系統的DNS設置來使其工作。
Vivaldi發言人稱,Vivaldi的DoH支持將來可能會有變化,這取決於谷歌如何改變Chromium的DoH支持。
閱讀更多 安全圈 的文章
