火狐基于 HTTPS 的 DNS

关于 Firefox DNS-over-HTTPS

当您在地址栏中键入网址或域名(例如:www.mozilla.org)时,浏览器会通过互联网发送请求以查找该网站的 IP 地址。

传统上,此请求通过纯文本连接发送到服务器。此连接未加密,因此第三方可以轻松查看您将要访问的网站。

DNS-over-HTTPS(DoH)的工作方式不同。它使用加密的HTTPS连接而不是纯文本连接将您键入的域名发送到 DoH 兼容的 DNS 服务器。这可以防止第三方看到您试图访问的网站。

保障

DoH 通过向隐藏在公共 WiFi 上的某人、您的 ISP 或本地网络上的其他任何人隐藏域名查找来提高隐私。 DoH,启用后,可确保您的 ISP 无法收集和销售与您的浏览行为相关的个人信息。

风险

  • 一些个人和组织依赖 DNS 来阻止恶意软件、启用家长控制或过滤浏览器对网站的访问。启用后,DoH 将绕过您的本地 DNS 解析器并禁用这些特殊策略。DoH 默认为用户启用,当它干扰到首选策略时,火狐允许用户(通过设置)和组织(通过企业策略和 Canary 域查找)禁用 DoH。
  • 在美国,火狐默认将 DoH 查询定向到由 CloudFlare 操作的 DNS 服务器,这意味着 CloudFlare 能够查看用户的查询。Mozilla 拥有强大的 Trusted Recursive Resolver (TRR) 政策 来禁止 CloudFlare 或任何其他 DoH 合作伙伴收集个人身份信息。为了减轻这种风险,我们的合作伙伴有合同义务遵守此政策。
  • DoH 可能比传统的 DNS 查询慢,但在测试中我们发现 影响已经最小化并且在许多场景下 DoH 更快

关于 DNS over HTTPS 在美国的发布

Mozilla 已经 宣布 2019 年在美国对所有 Firefox 桌面用户启用 DoH 的计划。DoH 将对用户采用 “回退”的模式。例如,如果使用 DoH 查找域名失败,那么 Firefox 将回退到使用操作系统默认设置的 DNS 而不是报错。

选择不使用 DoH

对于在美国的 Firefox 用户,当 DoH 首次启用时,会显示以下提示。它允许用户选择不使用 DoH 而是继续使用用户默认的 OS DNS 解释器。

DoH Opt Out

此外,Firefox 还会检查某些会受到 DoH 影响的功能,包括:

  • 家长控制是否启用?
  • 默认 DNS 服务器是否在过滤潜在的恶意内容?
  • 该设备是否由带特定 DNS 配置的机构所管理?

如果检查表明 DoH 可能会影响到这些功能,那么 DoH 也不会被启用。每次设备接入不同的网络时,都会做这些检查。

在发布初期,DoH 会通过 Firefox 研究 开始。如果用户接受了通知,那么他们以后还可以通过在地址栏输入 about:studies 并查找名为 DNS over HTTPS US Rollout 的活跃研究。如果找到了,你就可以移除之。由于该研究可能已经激活,所以你应该

  1. 地址栏,输入about:config,然后按回车回车
    有时会出现警告页面。点击 我了解此风险!我了解此风险,请继续!,以打开about:config页面。
  2. 搜索 network.trr.mode 确认其值或者是 0 (关),或者是 5 (用户选择关)。

如果要改变其值,请 双击之点击 修改 Fx71aboutconfig-EditButton 按钮,输入新的值,然后勾选 Fx71aboutconfig-Checkmark 来保存。将该值设置为 5 就保证将来 DoH 不会自动启用。

手动启用和禁用 DNS-over-HTTPS

您可以在 Firefox 连接设置 中启用或禁用 DoH:

  1. 点击菜单按钮 New Fx Menu Fx57Menu 并点击 选项 按钮 首选项 按钮。
  2. 常规 面板,下翻到 网络设置 并点击 设置… 按钮。
  3. 在接下来打开的对话框中,下翻到 启用 DNS over HTTPS
    • 打开:勾选 启用 DNS over HTTPS 打开此功能。请选择或设置一个供应商。
    • 关闭:取消勾选 启用 DNS over HTTPS 关闭此功能。
    toggle doh
  4. 点击 确认 保存更改并关闭此窗口。

切换提供商

  1. 点击菜单按钮 New Fx Menu Fx57Menu 并点击 选项 按钮 首选项 按钮。
  2. 向下滚动到 网络设置 并单击 设置… 按钮。
  3. 单击 启用 DNS-over-HTTPS 下面的 使用提供商 下拉列表选择提供商。
    change dns provider
    Change DNS Provider fx73
  4. 点击 确认 保存修改并关闭窗口。

排除特定域名

您可以配置例外,以便火狐使用您的系统解析器而不是 DOH:

  1. 地址栏,输入about:config,然后按回车回车
    有时会出现警告页面。点击 我了解此风险!我了解此风险,请继续!,以打开about:config页面。
  2. 找到并双击 network.trr.excluded-domains 首选项。
  3. 将域(以逗号分隔)添加到列表中,然后单击 确认
    注意: 请勿从列表中删除任何域。
  1. 地址栏,输入about:config,然后按回车回车
    有时会出现警告页面。点击 我了解此风险!我了解此风险,请继续!,以打开about:config页面。
  2. 搜索 network.trr.excluded-domains
  3. 点击其旁边的 修改 Fx71aboutconfig-EditButton 按钮。
  4. 将域(以逗号分隔)添加到列表中,然后勾选 Fx71aboutconfig-Checkmark 来保存。
    '注意: 请勿从列表中删除任何域。
关于子域:火狐将检查您在 network.trr.excluded-domains 列出的所有域名及其子域。例如,如果您输入 example.com, 火狐也将排除 www.example.com.

配置网络以禁用 DOH

配置网络以禁用 DNS over HTTPSDNS over HTTPS FAQ

这篇文章对您有帮助吗?

请稍候...

此文章在这些用户的协助下写成:

Illustration of hands

志愿者

分享知识并培养专业技能。解答问题并改进我们的知识库。

详细了解