谷歌Chrome加密DNS活动的利弊

由于安全版的原始HTTP协议HTTPS的扩展，今天大部分的互联网通信都是加密的，这改善了你的隐私，保护你的浏览数据不被窃听者发现。如果你访问一个未加密的网站，像谷歌Chrome和Firefox这样的主流浏览器会警告你。

但是，虽然进步很大，但并不是所有的互联网流量都被加密了。域名系统(DNS)，用于将域名(如google.com)转换为IP地址(如74.125.157.99)的协议，仍然是纯文本形式，它可以揭示很多关于您的浏览习惯。

近年来引入的https协议，通过在你的DNS数据包中增加一层加密，提高了你的浏览体验隐私。自2017年以来，Firefox率先尝试支持DNS-over-HTTPS。谷歌Chrome在78版中增加了对DoH的实验支持。谷歌将在12月推出79版本，默认情况下为1%的Chrome用户提供支持。

由于Chrome是65%以上用户的首选浏览器，DoH的实现可能会对浏览隐私产生深远影响。以下是你需要知道的关于https上的dns的隐私好处和限制。

在internet(以及本地、离线网络)上，每台计算机都有一个IP地址，它由四个数字组成(例如，74.125.157.99)。当计算机希望彼此通信(例如浏览网站)时，它们必须指定目的地的IP地址。但是人类的大脑并不是很擅长记住数字序列(想象一下必须记住数千个IP地址)。

这就是为什么网络科学家创造了DNS协议，它允许你使用域名(对人类来说更容易记住)来指代网络上的计算机。只要你输入一个网站的地址(比如en.wikipedia.org)，你的电脑就会向你的DNS解析器(通常是你的互联网服务提供商)发送一个DNS请求。然后，解析器与一系列DNS服务器进行通信，以查找要连接的网站或服务的IP地址。

这就是事情变得有点糟糕的地方。您发送的DNS请求未加密。它包含您请求的域和您自己的IP地址的一部分。任何偷听你的互联网流量的人都可以登录你浏览的所有网站。这包括您的internet服务提供商(ISP)、将您的请求路由到DNS服务器的服务器、您在本地咖啡店或图书馆使用的Wi-Fi网络的所有者、政府机构或任何有足够技术来设置网络监视工具的人。

在某些情况下，恶意的参与者可以拦截请求并返回假的IP地址将您重定向到恶意网站。

DoH背后的基本思想是向您的DNS请求添加一层加密，使其内容对不需要的方不可见。当您使用DNS-over-HTTPS时，您的浏览器将加密您的DNS请求并将其伪装成HTTPS包。然后，它将它们发送到一个可信的DoH解析器，该解析器执行其余的跑腿工作，向DNS服务器发送消息并解析您想访问的网站地址。

监视您的internet流量的窃听者将无法跟踪您的DNS流量。此外，DoH服务器采取预防措施，以避免向解析该地址的DNS服务器泄露您的IP地址。

自78版以来，谷歌增加了对DNS-over-HTTPS的支持。它仍处于试验阶段，因此启用它并不是那么容易。要访问实验特性，您必须在地址栏中输入“chrome://flags”。这就引出了Chrome的实验特性。

找到名为“安全DNS查找”的功能，并将其设置为“启用”。(你可以使用页面顶部的搜索栏来快速找到它。或者，你可以在地址栏中输入“chrome://flags#dns-over-https”，直接进入chrome的DoH设置)

启用此功能后，您必须重新启动谷歌Chrome，以使DNS-over-HTTPS功能生效。

这里有个陷阱。在谷歌Chrome中切换DoH标志并不足以使您的DNS请求私有。使用DNS-over-HTTPS需要做两件事:

现在有几个可信的DoH解析器，包括Cloudflare (IP: 1.1.1.1)和谷歌(IP: 8.8.8.8)。但这并不意味着你的电脑正在使用它们。

默认情况下，大多数计算机使用ISP或网络管理员提供的默认DNS解析器。如果你的解析器不支持DoH，启用谷歌Chrome的DoH标志不会有什么区别。

要查看你的浏览器是否真的启用了DNS-over-HTTPS，请转到Cloudflare的安全检查页面，点击“检查我的浏览器”按钮。如果您的DoH设置正常工作，您应该在安全DNS列旁边看到一个绿色的复选标记。

如果您的安全DNS列仍然有一个红色或橙色图标后，启用Chrome的DoH功能，尝试手动设置您的DNS解析器“1.1.1.1”或“8.8.8.8”。(你可以在Windows 10here和MacOShere中找到调整DNS设置的说明。)

虽然DNS-over-HTTPS增强了谷歌Chrome浏览器的浏览隐私，但它并不是一个完美的解决方案。这里有一些事情需要考虑:

DoH不会阻止ISP追踪:互联网用户最关心的隐私问题之一是他们的ISP追踪他们的浏览习惯并将其卖给广告商。读取DNS请求是isp用来跟踪您的浏览的主要方法之一。但即使他们没有访问你的DNS数据包，他们可以知道你正在访问哪些网站，因为你的HTTPS请求仍然会通过他们。虽然HTTPS加密请求表单数据(用户名、密码、地址、电话号码等)和页面细节等内容，但它仍然会显示您访问的网站域。

这方面的一个考虑是DoH传播到内容传递网络(CDNs)。CDN本地节点通常在一台服务器上托管多个网站，它们将能够使用一个称为“连接合并”的特性来显示关于您访问的域的更少信息。但这还没有完全实现。

DoH可能会破坏一些安全工具:许多端点安全工具和智能防火墙使用DNS请求来检测和防止连接到恶意域。DoH可能会破坏这些工具的功能。

DoH不会保护未加密网站中的数据。虽然对web进行加密已经取得了很大的进展，但是仍然有很多网站使用未加密的HTTP协议。这些网站把你所有的信息暴露给窃听者和网络网关。使用DNS-over-HTTPS将不会保护您与这些网站交换的数据。

尽管如此，对于谷歌Chrome和其他浏览器来说，DNS-over-HTTPS是一个很好的隐私改进，特别是在将来使用它将变得相对琐碎。如果你想要完全的隐私，考虑使用虚拟专用网(VPN)，它为你所有的网络流量增加了一层加密，甚至隐藏了你通信的域。