DNS-over-HTTPS (DoH) 常见问题解答

刚开始使用 DNS over HTTPS (DoH)?不必惊慌!我们总结了一些 DNS-over-HTTPS (DoH) 常见问题和解答。希望此文让你能够快速了解 DoH 提供的能力。更多信息,请参看 Firefox DNS-over-HTTPS

美国 Firefox 用户的 DNS over HTTPS 是怎么样的

DNS over HTTPS 有什么样的隐私政策?

实施 DoH 是我们保护用户数据不受在线跟踪的工作之一。为了达成该目标,Mozilla 通过法律合同要求所有经由 Firefox 的 DNS 提供商遵循我们的 解析政策。这些政策严格规定了可保留数据的种类、提供商可以对数据做什么以及数据可以保留多久。这一严格政策意在保护用户不被提供商收集和货币化。

用户是否获得警告?是否可以选择不用?

是的。用户必须在提示页面决定是否启用 DNS 隐私保护。

DoH Opt Out

用户是否可以禁用 DoH?

是的,用户可以在 选项/首选项 > 通用 > 网络设置 下禁用 DoH。他们可以禁用 DoH 和/或按照 此处 的解释选择自己的 DoH 提供商。

用户是否可以提前选择不用?

是的,他们可以在 about:config 手动设置 network.trr.mode5。请在 此处 了解更多模式。

DoH 对使用定制化 DNS 方案的企业有什么影响?

我们特意让企业用户更容易禁用此功能。另外,Firefox 会检测相关设备是否设置有启用政策,如果有,就会禁用 DoH。如果你是需要了解如何配置企业政策的系统管理员,那么请阅读 这里 的文档。

DoH 如何影响家长控制?

我们知道有些 ISP 使用 DNS 提供家长控制服务来拦截成人内容。Mozilla 认为 DNS 并不是家长控制的最好方式,但是我们也不想破坏已有的服务,所以我们在启用 DoH 之前会做域名检查。如果域名检查表示家长控制已启用,那么我们就禁用 DoH。更多信息,请参看 https://blog.mozilla.org/futurereleases/2019/09/06/whats-next-in-making-dns-over-https-the-default/

难道网络不能一直开启域名检查并禁用 DoH?

是的,域名检查是对抗网络攻击和阻止已有部署被破坏的最安全方案。我们会监控其使用、调查滥用事件并对此类事件采取应对措施。

DoH 会破坏内容分发网络(CDNs)吗?

我们了解有些 CDN 使用基于 DNS 的流量管理,这可能会受到 DoH 的影响。不过,我们的 测量 显示 DoH 页面的加载时间和普通 DNS 页面的加载时间相比并不算差。在发布期间和发布之后,我们会持续监测 Firefox 的性能,看看是否有问题。

Firefox 如何处理水平分割的 DNS?

如果 Firefox 不能通过 DoH 解析域名,那么它会回归到使用 DNS。这就是说,只能通过普通 DNS 获取的域名(因为不公开)就会按照 DNS 来解析。如果你的域名是公开可解析,但是内部使用其他方法解析,那么你应该使用企业政策设置禁用 DoH。

你们是否验证 DNSSEC?

DNSSEC 保证 DNS 的反馈在传输时不被改变,但是它并不加密 DNS 请求和反馈。我们使用 DoH 提高了 DNS 加密的优先级以保护用户隐私。我们考虑在将来实施 DNSSEC。

Cloudflare 会对 Firefox 发送到其 DoH 解析器的请求进行 DNSSEC 验证。不过,这并不保证端到端 DNS 数据的可靠性。我们正在准备发布 DoH 的“回归模式”(fallback mode),这意味着来自 Cloudflare 解析器的错误,比如 DNSSEC 验证失败,都会让 Firefox 使用操作系统的解析器再次尝试解析而不是直接把错误返回给用户。

DNS over HTTPS 伙伴

Firefox 使用什么解析器?

我们的初期部署只在美国,选择 Cloudflare 作为默认解析器。我们也在积极和其他提供商洽谈加入我们的可信解析器计划(Trusted Recursive Resolver program),这个计划需要提供商就用户隐私和安全遵循我们的 政策要求。我们预计会有更多的提供商加入该计划。另外,我们的远景是 DoH 被广泛接纳并被所有 DNS 解析器支持。

Mozilla 为什么选 Cloudflare 作为可信的解析器?

Cloudflare 能够达到我们现有的严格 政策要求。这些要求写在我们和 Cloudflare 的法律合同中,并且公开在一个同类最佳的 隐私声明 中,该声明记录了这些政策并对用户公开透明。

Mozilla 是否因为将 DNS 请求转到 Cloudflare 而获得收益?

将 DNS 请求路由到 Cloudflare 不牵扯到金钱交易。

Mozilla 或 Cloudflare 是否将这些数据货币化?

不,我们的政策明确禁止将数据货币化。对我们来说,该功能的目的是为用户提供重要的隐私保护,并使现有的 DNS 解析器更难以货币化用户的 DNS 数据。

更多关于 Firefox 的 DNS over HTTPS 实施计划

你们的实施排期是怎么样子的?

我们将只在没有逐渐从 2019 年 10 月开始实施。这就是说我们会从少量用户开始,伴随可能遇到的问题解决,逐步扩展到全部用户。请参看 https://bugzilla.mozilla.org/show_bug.cgi?id=1573840 更多实施详情。

欧洲是否默认采用?

作为仔细监控 DoH 的影响和好处的持续战略组成部分,我们目前只集中在美国的发布。

为什么 Firefox 使用 DoH 而不是 DoT?

IETF 有两个 DNS 安全传输的协议标准:DNS-over-TLS (DoT) 和 DNS-over-HTTPS (DoH)。这两个标准的安全和隐私特性大致类似。我们选择 DoH 的理由是它和我们现有的成熟浏览器网络栈(针对 HTTP)更容易配合,它为 HTTP/DNS 多路复用和 QUIC 等未来的协议功能提供了更好的支持。

DoT 对网络操作方是否更容易检测和拦截?

是的。我们不认为这是一个优势。Firefox 为网络操作方提供了判断是否禁用 DoH 的机制。我们认为阻止解析器的连接不是一个合适的反应。

难道服务器名称标识(SNI)不是总会泄漏域名吗?

是的。虽然不是所有的域名都通过 SNI 泄漏出去,但是我们还是很担心 SNI 的泄漏问题。我们已经着手 SNI 加密 的工作。

这篇文章对您有帮助吗?

请稍候...

此文章在这些用户的协助下写成:

Illustration of hands

志愿者

分享知识并培养专业技能。解答问题并改进我们的知识库。

详细了解