我的 DNS over HTTPS 与 DNSCrypt 服务

submitted 3 months ago by

edited 3 months ago

可以使用 DNS over HTTPS (DoH) 或 DNSCrypt 帮助维护网络安全。

具体来说，它们可确保你的域名查询不被机构网络或 ISP 监视或劫持。

简单配置

Firefox 浏览器内建 DoH 支持。在设置页面的“隐私与安全”栏目底部：about:preferences#privacy

推荐使用“最大保护”，这样当 DoH 出现问题时可收到提示。

选择提供方“自定义”，并输入一个 DoH 服务地址：

My service doesn’t keep any logs.

一些其他浏览器也有类似功能，可自行寻找。

也可以在 dnscrypt.info 找到其他服务商提供的 DoH 和 DNSProxy 服务。

安卓系统可使用 Invizible Pro。此应用也带有其他安全功能。此包可从 F-Droid 安装。

桌面系统上，可以使用 dnscrypt-proxy 作为本地 DNS 代理，并在网络配置把 DNS 服务设为本机 (127.0.0.1)。可在 Wiki 查看使用方法。

这里也列出了其他 DoH/DNSCrypt 客户端与服务器。

可在 dnscrypt.info 获得更多 DoH/DNSCrypt 的相关内容。

我在服务器使用了“官方”的 doh-server 和 Encrypted DNS Server。

相关客户端大都接受 “DNS Stamp”。unseen-site.fun 的 DNS Stamps 列表：

DNSCrypt:
sdns://AQcAAAAAAAAAFDE1Ni4yMzguMjI4LjYzOjI0NDQzIGg1HGNzZfCxwGL9d_0et2vjou1r73tazFboIgbcjv1dHzIuZG5zY3J5cHQtY2VydC51bnNlZW4tc2l0ZS5mdW4
Anonymous DNS Relay:
sdns://gRQxNTYuMjM4LjIyOC42MzoyNDQ0Mw
DoH (with hash):
sdns://AgcAAAAAAAAADjE1Ni4yMzguMjI4LjYzIJB40hpWwOCJHZBiIbaZIzG90XFy6w8z3aB9XGXG4Uw5D3Vuc2Vlbi1zaXRlLmZ1bgovZG5zLXF1ZXJ5
DoH (basic):
sdns://AgCAAAAAAAAADjE1Ni4yMzguMjI4LjYzAA91bnNlZW4tc2l0ZS5mdW4KL2Rucy1xdWVyeQ

可在 DNS Stamp 页面解析其他提供商的 DoH 标签，并将其中的地址用于 Firefox。

DNS 查询在“网线上”明文可见，任何中间方可看到，也可以劫持、给你返回错误的结果。

许多公共 Wifi 自动出现的登录界面就是用这样的原理实现的。

使用 DoH/DNSCrypt，会把 DNS 放在 TLS/HTTPS 请求中，这样可很大程度上避免被监视、篡改。

你可能听过或经历过自己的设备上被各类机构要求“安装证书”。

若这样的证书存在于设备上，你在相关机构网络环境中的 TLS 请求也会被劫持：该机构网络会冒名为任何域名签发证书，且你的设备会信任这种证书。机构会作为你和服务之间的代理人，明文分析你的流量。

上述 DNS Stamps 列表中的 DoH (with hash) 项带有我的“正版”证书签发商 (Let’s Encrypt E7) 的签名。若处在证书被冒名签发的环境中，客户端会提示验证失败：证书由你的机构签发，连接不再保密。

对于这样的网络环境，最直接的做法是不做任何与个人相关的事情。

注：假如以后 unseen-site.fun 域名证书不再由 Let’s Encrypt E7 签发，此 Stamp 也会失效。届时可在浏览器检查 unseen-site.fun 的证书是否仍由可信任机构签发，并使用基本 Stamp。