Firefox

Firefox 使用 DNS over HTTPS

DNS over HTTPS 是一个进行安全化的域名解析的方案,目前尚处于实验性阶段。其意义在于以加密的 HTTPS 协议进行 DNS 解析请求

Yukee

3 min read

Configure DNS Over HTTPS in Firefox - gHacks Tech News

介绍

DNS over HTTPS是一个进行安全化的域名解析的方案,目前尚处于实验性阶段。其意义在于以加密的 HTTPS 协议进行 DNS 解析请求,避免原始
DNS协议中用户的 DNS 解析请求被窃听或者修改的问题(例如中间人攻击)来达到保护用户隐私的目的。

较于传统的 DNS 协议,此处的 HTTP 协议通讯处于具有加密作用的 SSL/TLS 协议(两者统称作 HTTPS)的保护之下。但是,由于其基于
HTTPS,而 HTTPS 本身需要经由多次数据来回传递才能完成协议初始化,其域名解析耗时较原 DNS 协议会显著增加

隐私:Mozilla 与 Cloudflare 签署了一项特别协议,该协议限制了记录和保留的数据。

配置

首先确保系统 DNS 已修改为 1.1.1.1 (如果此 IP 已被本地 ISP 使用,可尝试 1.0.0.1,下同),为了测试,可先不设置备用 DNS,Firefox 版本号需 ≥60

  1. 在地址栏输入 about:config,回车并确认。
  2. 搜索关键字 network.trr.bootstrapAddress,双击修改为 1.1.1.1
  3. 搜索关键字 network.trr.mode 并在其上双击。
    • 设置值为 2 使 DNS Over HTTPS 成为浏览器的首选项,常规 DNS 作为备份,这是最具兼容性的设置。
    • 您可以将其设置为 1,让 Firefox 选择更快的模式,3 使用 TRR only 模式(适用测试模式),或者使用 0(默认值)来禁用它。
  4. 搜索 network.trr.uri,即 Firefox 期望的 DNS over HTTPS 提供商,双击名称,有下面两个选择。
    1. https://1.1.1.1/dns-query (推荐)
    2. https://dns.google.com/experimental
  5. 重启浏览器。

检测

访问 https://www.ipleak.net/ ,若 DNS Address 是 0 servers ,即为成功。

DNS

试用

测试一下应该用的是 CF 在 CNHK 的服务器,Ping 不是太好看(测试百度 40ms 左右),而且为了隐私故意不支持 ECS(edns-client-subnet,即按照用户本地 IP 智能解析),致使中国大陆很多网站解到了中国香港、美国,所以导致一系列版权相关诸如视频、音乐网站无法正常使用,所以使用起来会很棘手,只能期待国内会出现支持DNS over HTTPS 的服务商,或者可以考虑自建。

另外,除非你使用 Proxy,在浏览时 ISP 还是会知道你正在访问哪个网站。(๑•́ ₃ •̀๑)

题外话

Let's Encrypt 从上月29日开始内嵌 SCT 扩展,不需要任何操作。将自动在新签发和续签的证书上生效。