什么是 DNS over HTTPS 以及如何在 Windows 10 中启用它

为什么从传统 DNS 迁移到基于 HTTPS 的 DNS

当您的网络浏览器访问网站时，它需要首先将友好的 URL（例如 Netwrix.com）转换为托管该网站的服务器的公共服务器 IP 地址。这称为 DNS 查找。传统的 DNS 是未加密的，与如今几乎完全通过 HTTPS 保护的现代 HTTPS 网络流量不同。

由于一旦建立连接，HTTPS 就会加密您与网站的通信，因此您可能想知道为什么初始 DNS 查找保持不加密很重要。毕竟，使用未加密的 DNS，与您位于同一网络的攻击者可以查看您正在浏览的网站，并可能将您的 DNS 查找重新路由到恶意网站和网络钓鱼诈骗。

引入 DNS over HTTPS (DoH) 是为了防止攻击者仅通过窥探 DNS 流量来监控您的浏览习惯或将您重定向到恶意网站。 DoH 将 DNS 查询与 HTTPS 的加密功能配对，而不是以纯文本方式进行通信。传统的 DNS 查找在端口 53 上以未加密的方式执行，但 DoH 查找在端口 443 上的 HTTPS 流量内部进行。从 Windows Server 2022 开始，DNS 客户端支持 DNS-over-HTTPS；可以通过组策略为所有适用的 Active Directory 计算机启用它。

这是 HTTPS 上的 DNS 的简单、高级视图，但从最终用户的角度来看，这就是您真正需要了解的全部内容。尽可能启用基于 HTTPS 的 DNS 是最佳实践，我们将在下面针对 Windows 10 概述这一点。

虽然超出了本博客的范围，Apple 还宣布了对 iOS/macOS 的 DNS over HTTPS (DoH) 支持，并且 Cloudflare 提供了强大的 1.1.1.1 DNS 解析器，为各种移动和桌面操作系统添加 DNS 查找安全性。

如果您希望在每个应用程序而不是操作系统级别启用 DoH，许多网络浏览器（包括 Firefox 和基于 Chromium 的浏览器）也支持 DoH。然而，在操作系统中启用 DoH 可以为那些本身不支持 DoH 的应用程序提供这种能力。另外，DNS 查找传统上是操作系统的功能，而不是 Web 浏览器的功能。

如何在 Windows 10 中启用基于 HTTPS 的 DNS

在 Windows 10 中启用基于 HTTPS 的 DNS 可为请求 DNS 查找的所有用户和应用程序（包括所有 Web 浏览器）提供功能。请记住，Windows 10 应该是最新的，以确保 DoH 功能可用。

在 Windows 10 注册表中启用 DoH

要在 Windows 10 注册表（内部版本 19628 或更高版本）中启用 DNS over HTTPS：

1. 打开注册表编辑器
2. 导航至：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
3. 创建一个名为“EnableAutoDoh”的新 DWORD，并将其值设置为 2。

添加了“EnableAutoDoh”的 Windows 10 注册表编辑器以通过 HTTPS 启用 DNS。

1. 重新启动主机。
2. 在网络配置中适配器的互联网协议版本 4 (TCP/IPv4)属性下更改网络连接的主要和备用 DNS 服务器。

Windows 10 中的 DNS over HTTPS 当前支持以下服务器地址：

• Cloudflare — 主要：1.1.1.1，备用：1.0.0.1
• Google - 主要：8.8.8.8，备用：8.8.4.4
• Quad9 — 主要：9.9.9.9，备用：149.112.112.112

Windows 10 中网络适配器的“Internet 协议版本 4 (TCP/IPv4)”属性，配置为使用 Cloudflare 通过 HTTPS 进行 DNS

通过 Windows 10 设置 > 网络和 Internet 菜单启用 DoH

要在“设置”>“网络和 Internet”菜单中启用基于 HTTPS 的 DNS（内部版本 20185 或更高版本）：

1. 在“开始”菜单中选择设置。
2. 打开网络设置。
3. 在“网络状态”下，打开所需互联网连接的属性菜单。
4. 点击 DNS 设置下的编辑。
5. 选择手动选项，然后指定首选 DNS 和备用 DNS IP 地址。 Windows 10 目前支持的 DNS 提供商有：

• Cloudflare - 主：1.1.1.1，备用：1.0.0.1
• Google - 主：8.8.8.8，备用：8.8.4.4
• Quad9 - 主用：9.9.9.9，备用：149.112.112.112

1. 在“首选 DNS”和“备用 DNS”下选择“仅加密（通过 HTTPS 的 DNS）”进行加密。
2. 如果需要，您可以为 IPv6 配置相同的内容（前面的步骤适用于 IPv4）。

启用了 DNS over HTTPS 的 Windows 10

根据 Microsoft 的说法，“启用加密后，您可以通过查看网络属性中应用的 DNS 服务器并查看它们标记为‘（加密）’服务器来确认加密是否正常工作。”

通过组策略启用 DoH

自 Windows Server 2022 起，可以在域级别启用 DoH。可以通过配置 DNS over HTTPS (DoH) 名称解析策略全局更改 DNS over HTTPS 设置，该策略可以在计算机配置策略管理模板网络 DNS 客户端部分的组策略编辑器中找到：

如果要将新的 DoH 服务器添加到已知服务器列表中，可以使用 Add-DnsClientDohServerAddress PowerShell cmdlet。

您可以使用以下命令通过 PowerShell 检查用于名称解析的 DoH 服务器列表：Get-DNSClientDohServerAddress。

常问问题

什么是 HTTPS 上的 DNS？

DNS over HTTPS (DoH) 是一种通过 HTTPS 协议执行远程域名系统 (DNS) 解析的协议。

我应该使用 HTTPS 上的 DNS 吗？

启用 DoH 后，您将能够绕过审查、提高网络流量的安全性并增强网络的隐私性。

默认情况下启用 HTTPS 上的 DNS 吗？

不可以，您必须在工作站上手动启用它或通过组策略启用它。

如何启用 DNS 上的 HTTPS？

要在 Windows 10 中启用 DNS over HTTPS，请打开设置中的网络和互联网部分，转到状态，然后单击属性 并选择编辑 IP 分配或编辑 DNS 服务器分配。

如何检查 DNS over HTTPS 设置？

要检查您的 DNS over HTTPS 设置，请打开设置中的网络和互联网部分，转到状态，点击属性 > 并选择编辑 IP 分配或编辑 DNS 服务器分配。

Windows 10 是否支持基于 HTTPS 的 DNS？

Windows 10 版本 19628 或更高版本支持 DoH。