Compare Revisions

在 Mozilla，我们相信 DNS over HTTPS（DoH）是一项人人都应使用以保护隐私的功能。请了解更多。

在 Mozilla，我们相信 [[Firefox DNS-over-HTTPS|DNS over HTTPS（DoH）]] 是一项人人都应使用以保护隐私的功能。通过加密 DNS 请求，DoH 能够保护从你到域名服务器间的浏览数据免于第三方的窃听。相比之下，普通的DNS请求可能会将你所访问的每个网站的域名泄露给网络中的其他用户或是网络管理员。 虽然我们鼓励每位用户使用 DoH，我们也明白在一些情况下 DoH 并不是一个好的选择。这些情况可能包括： *你的网络在默认的 DNS 解析器端启用了某种过滤。这种过滤通常被用于实现家长控制或者阻止对恶意网站的访问。 *你所在的网络提供对私有名称或域名的解析，或是网络内部的解析结果与公开的结果不同。比如，一些公司可能仅会在局域网内提供对于内部服务的地址解析。 这些网络可以向 Firefox 作出指示，说明启用 DoH 会影响一些特殊的功能。在 DoH 对于所有用户默认启用后，Firefox 将会自动查询这一指示。DoH 的全面启用将首先于 2019 年秋季在美国展开。如果用户选择了手动启用 DoH，网络的指示将会被忽略以尊重用户的选择。 网络管理员可以按照下述方法，来向 Firefox 提示本地 DNS 服务器启用了特定功能而导致 DoH 不适合该网络。 对于“use-application-dns.net”的 A 和 AAAA 记录的 DNS 请求必须返回 NXDOMAIN，而不是权威域服务器返回的 IP 地址。 “use-application-dns.net” 这一域名被称为 “canary 域名”。目前，有一些 DNS 过滤的提供方已经实现了类似的域名检测，让用户能够验证过滤的运行状态。上文提到的新域名的不同之处在于该域名意图被多种过滤解决方案广泛支持，使用无需手动检查，Firefox 等软件则会自动进行检测。这个方案由 Mozilla 提出，是一个在规范 DNS 过滤指示的互联网标准获批之前的临时措施。 除了上述的 canary 域名记录检测之外，Firefox 也会在向用户启用 DoH 前进行一些对于可能的不兼容性的检测。这些检测会在每次浏览器启动以及网络状态变化（比如，笔记本从家中移动到了咖啡店，或是工作地点）时进行。只要任一检测表明存在潜在的问题，Firefox 将会在使用该网络期间禁用 DoH（除非用户手动启用了上文中提到的“一直开启 DoH”的偏好设置）。 对内容过滤的额外检测是： *对于一些已知 DNS 提供商的“canary 域名”进行解析来检测内容过滤。 *对于 google.com 和 youtube.com 的“SafeSearch”版本进行解析来检测是否存在重定向。 *在 Windows 和 macOS 上检测操作系统的家长控制功能是否启用。 对于私有（企业）网络的额外检测是： *Firefox 的 {pref security.enterprise_roots.enabled} 偏好设置是否设置为 {pref true}？ *是否配置了 [/products/firefox-enterprise/policies-customization-enterprise/manage-settings-policy 企业政策]？