您的網路活動始於 DNS，但傳統的 DNS 會洩露您的瀏覽習慣。DNS over HTTPS (DoH) 加密了這些請求，為您的線上隱私和安全性提供了顯著的提升。

理解基礎：什麼是 DNS？

想像一下網路是個巨大城市，每個網站都是一座建築物，而每座建築物都有一個獨特的門牌號碼——那就是 IP 位址。然而，當您想去某個地方時，您通常會知道建築物的名稱（例如 whoip.tw），而不是門牌號碼。這時候，就需要一本電話簿來將名稱轉換為號碼。

在網際網路中，這個「電話簿」就是網域名稱系統 (DNS)。當您在瀏覽器中輸入一個網域名稱時，您的電腦會向 DNS 伺服器發送一個請求，將該網域名稱解析為其對應的 IP 位址。一旦獲取了 IP 位址，您的瀏覽器才能找到並連接到正確的網站伺服器。這一切都發生在您幾乎無感的情況下，但它是所有網路連線的基礎步驟之一。

如果您想深入了解 DNS 的運作原理，請參閱我們的文章：DNS 的運作原理。

傳統 DNS 的隱私漏洞

儘管 DNS 對網路至關重要，但其傳統的運作方式存在一個顯著的隱私漏洞：您的 DNS 查詢是未加密的。

這意味著，當您的電腦向 DNS 伺服器發送「我正在尋找 example.com 的 IP 位址」這樣的請求時，這個請求是明文傳輸的。任何能夠監聽您網路流量的人，包括您的網路服務供應商 (ISP)、您使用的 Wi-Fi 熱點經營者、甚至政府機構，都可以輕易地看到您正在嘗試造訪哪些網站。這種行為被稱為「DNS 竊聽」。

想一想，即使您最終透過 HTTPS 加密連線到網站（網址顯示 https:// 而不是 http://），您對該網站的初始 DNS 查詢仍然是未加密的。這就像您把要打給誰的電話號碼大聲喊給電話交換員聽，即使後續的通話內容是保密的，誰都知道您打了這通電話。

此外，未加密的 DNS 查詢也更容易受到惡意攻擊的影響，例如：

DNS 劫持 (DNS Hijacking)：攻擊者可以攔截您的 DNS 請求，並將您重新導向到惡意網站，即使您輸入了正確的網址。
DNS 欺騙 (DNS Spoofing)：攻擊者可以假冒 DNS 伺服器，向您的電腦發送錯誤的 IP 位址，從而引導您進入惡意網站。

這些問題突顯了傳統 DNS 在隱私和安全方面的不足，這正是 DNS over HTTPS (DoH) 旨在解決的核心問題。

什麼是 DNS over HTTPS (DoH)？

DNS over HTTPS (DoH) 是一種新的協議，它旨在解決傳統 DNS 的隱私和安全問題。簡單來說，DoH 透過 HTTPS 協議加密 DNS 查詢和回應。

這表示什麼呢？傳統的 DNS 查詢是透過 UDP 或 TCP 的 53 埠發送的，這種流量很容易被識別和監聽。而 DoH 則將 DNS 查詢「包裝」在標準的 HTTPS 流量中，然後透過 TCP 的 443 埠發送——這個埠正是您每天安全瀏覽網站（例如網路銀行、社群媒體）所使用的埠。

想像一下，傳統 DNS 查詢就像一張寫著您想去哪裡明信片，任何人都能讀取。而 DoH 查詢則像一個密封且加密的信封，它看起來就像您正在向網站伺服器發送的許多其他安全請求一樣，監聽者無法輕易分辨它是一個 DNS 查詢，也無法讀取其內容。

[IMAGE: 比較傳統 DNS (未加密請求到 DNS 伺服器) 與 DoH (透過 HTTPS 隧道加密請求到 DoH 伺服器) 流程的示意圖]

透過這種方式，DoH 將您的 DNS 查詢隱藏在大量加密的 HTTPS 流量中，使其難以被監聽、攔截或篡改。這為您的線上隱私和安全帶來了顯著的改進。

使用 DoH 的主要好處

DoH 的引入為網路使用者帶來了多方面的優勢，尤其是在隱私和安全方面。

增強隱私

保護 DNS 查詢免受 ISP 和本地網路的窺探：這是 DoH 最核心的優勢。當您使用 DoH 時，您的網路服務供應商（ISP）或在您連接的本地網路（例如公共 Wi-Fi）上的任何人，都無法輕易地看到您正在訪問哪些網站的 DNS 查詢。他們仍然會知道您正在連接到某個 DoH 解析器（例如 Cloudflare 或 Google），但他們無法得知您從該解析器請求了哪些具體的網域名稱。這顯著減少了您的數位足跡。
降低基於 DNS 習慣的分析門檻：透過加密 DNS 查詢，使得攻擊者或數據收集者更難透過 DNS 流量來建立您的瀏覽習慣檔案。
了解更多保護您 IP 資訊的方法，請參考我們的文章：如何保護您的 IP 位址。

提升安全性

防範 DNS 篡改和欺騙：加密的 DoH 請求大大增加了攻擊者攔截或篡改 DNS 回應的難度。這意味著惡意方更難將您重新導向到虛假或惡意的網站，從而保護您免受釣魚攻擊和其他基於 DNS 操縱的威脅。
抵禦中間人攻擊 (Man-in-the-Middle, MITM)：由於 DoH 請求受到 TLS/SSL 憑證的保護，它能有效驗證 DNS 解析器的身份，防止攻擊者冒充合法的 DNS 伺服器，進一步增強了通訊的完整性和安全性。

規避審查和地理限制

繞過 DNS 級別的網路審查：在某些地區，政府或網路營運商可能會透過阻擋特定的 DNS 查詢來實現網路審查。由於 DoH 流量看起來與常規的 HTTPS 網路流量無異（都使用 443 埠），因此很難被單獨識別和阻擋。這使得使用者在某些情況下能夠繞過基於 DNS 的內容限制。
克服地理區域限制：雖然 DoH 不直接改變您的 IP 位址來偽裝地理位置，但在某些輕微的地理限制場景中，當限制是透過 DNS 級別實施時，DoH 也能提供一定的幫助。

潛在的缺點和考量

儘管 DoH 帶來了顯著的優勢，但它並非沒有其潛在的缺點和需要考慮的因素。

集中化問題

依賴少數大型 DoH 解析器：目前，大多數使用者傾向於使用少數幾個大型且知名的 DoH 解析器，如 Cloudflare (1.1.1.1) 或 Google Public DNS (8.8.8.8)。這可能會導致 DNS 查詢服務的集中化，引發對這些大型提供者權力過大和數據處理方式的擔憂。雖然這些提供者承諾保護用戶隱私，但將如此多的網路流量路由到少數幾個實體仍需謹慎評估。

繞過本地網路控制

可能繞過本地網路過濾策略：對於家庭網路的家長監護、企業網路的內容過濾或網路廣告阻擋器等，許多這類控制措施都是透過本地 DNS 伺服器來實現的。如果使用者在瀏覽器或作業系統中啟用 DoH 並指向外部解析器，那麼這些本地 DNS 過濾可能就會被繞過。這雖然對個人隱私有利，但也可能違反本地網路的預期安全或內容管理策略。

性能開銷

輕微的性能開銷：由於 DoH 涉及 TLS 握手和 HTTPS 加密，與傳統的明文 DNS 查詢相比，它會產生輕微的額外性能開銷。然而，對於大多數現代硬體和網路連接速度來說，這種開銷通常可以忽略不計，不會對日常上網體驗造成明顯影響。

VPN 與 DoH 的關係

VPN 提供更全面的保護：值得注意的是，DoH 是一種增強 DNS 隱私的工具。如果您已經使用虛擬私人網路 (VPN)，那麼您的所有網路流量（包括 DNS 查詢）通常都已經透過 VPN 隧道進行了加密和路由。在這種情況下，DoH 提供的是額外的、但可能非必需的保護層。然而，如果沒有使用 VPN，DoH 仍然是大幅提升 DNS 隱私的有效方式。若要了解更多關於 VPN 的資訊，請參考：VPN 與 Proxy 代理伺服器有什麼區別？。

DoH 與 DoT：有何不同？

在討論 DNS 加密時，除了 DoH 之外，另一個常見的協議是 DNS over TLS (DoT)。這兩種協議都旨在加密 DNS 流量以提高隱私和安全性，但它們在實現方式上有所不同：

DNS over TLS (DoT)：
- DoT 透過專用的 TLS 連接在 TCP 埠 853 上加密 DNS 查詢。
- 它的優勢在於其專用埠使得 DNS 流量很容易被識別為加密 DNS，從而確保所有通過該埠的流量都被視為 DNS 流量。
- 缺點是，由於它使用專用埠，網路防火牆和監管者可以相對容易地識別並阻擋所有 DoT 流量。
DNS over HTTPS (DoH)：
- DoH 將 DNS 查詢包裝在 HTTPS 流量中，透過標準的 TCP 埠 443 傳輸。
- 它的主要優勢在於，由於它與普通的 HTTPS 網頁流量使用相同的埠，因此很難從其他安全網頁流量中區分出來。這使得網路監聽者和審查機構更難阻擋或識別 DoH 流量。
- 缺點是，由於它混合在其他 HTTPS 流量中，網路管理員或安全工具可能難以對 DoH 流量進行精細控制或審查。

總結來說：DoT 像一個清晰標記的加密郵箱，信件內容安全，但郵箱本身是可見的。DoH 則像把信件藏在一個看起來像普通包裹的加密包裹中，難以被識別。兩種協議都提供了對傳統 DNS 的重要隱私和安全改進。

如何啟用 DNS over HTTPS

啟用 DNS over HTTPS 是一個相對簡單的過程，許多主流瀏覽器和作業系統都提供了內建支援。

在網頁瀏覽器中啟用 DoH

對於大多數使用者來說，在瀏覽器中啟用 DoH 是最快、最直接的方式，因為這會加密您瀏覽器產生的所有 DNS 查詢。

Mozilla Firefox：
1. 開啟 Firefox。
2. 點擊右上角的選單圖示 (三條橫線)，然後選擇「設定」。
3. 在左側選單中點擊「一般」。
4. 向下滾動到「網路設定」部分，然後點擊「設定…」按鈕。
5. 勾選「啟用 DNS over HTTPS」選項。
6. 您可以選擇一個預設提供者（例如 Cloudflare 或 NextDNS），或者選擇「自訂」並輸入您偏好的 DoH 伺服器 URL。
7. 點擊「確定」保存更改。
Google Chrome：
1. 開啟 Chrome。
2. 點擊右上角的選單圖示 (三個點)，然後選擇「設定」。
3. 在左側選單中點擊「隱私權和安全性」，然後選擇「安全性」。
4. 向下滾動到「進階」部分，找到「使用安全 DNS」選項。
5. 將開關切換到開啟狀態。
6. 您可以選擇「與您目前的服務供應商一同使用」或「選擇其他提供者」並從下拉選單中選擇一個（例如 Cloudflare 或 Google Public DNS），或輸入自訂 URL。
Microsoft Edge：
1. 開啟 Edge。
2. 點擊右上角的選單圖示 (三個點)，然後選擇「設定」。
3. 在左側選單中點擊「隱私權、搜尋與服務」。
4. 向下滾動到「安全性」部分，找到「使用安全 DNS 指定如何查詢網路位址」選項。
5. 將開關切換到開啟狀態。
6. 您可以選擇「使用目前服務供應商」或「選擇服務供應商」並從下拉選單中選擇一個，或輸入自訂範本。

在作業系統中啟用 DoH (系統級別)

在作業系統層面啟用 DoH 可以讓所有應用程式（不僅僅是您的瀏覽器）受益於加密 DNS。然而，這通常比在瀏覽器中啟用更複雜一些，且不同作業系統的支援程度和設定方式也不同。

Windows 10/11：
- Windows 對 DoH 的原生支援在不斷改進中。對於最新的 Windows 版本，您可以嘗試以下步驟，但可能需要手動配置 DNS 伺服器。
1. 進入「設定」>「網路和網際網路」>「進階網路設定」>「更多網路介面卡選項」。
2. 右鍵點擊您正在使用的網路介面卡（例如 Wi-Fi 或乙太網路），選擇「內容」。
3. 選擇「網際網路通訊協定第 4 版 (TCP/IPv4)」，然後點擊「內容」。
4. 選擇「使用下列的 DNS 伺服器位址」並輸入支援 DoH 的 DNS 伺服器位址（例如 Cloudflare 的 1.1.1.1 或 Google 的 8.8.8.8）。
5. 點擊「進階」按鈕，然後切換到「DNS」標籤。
6. 尋找並啟用「啟用 DNS over HTTPS」或類似的選項。此選項可能只在某些 Windows 版本或配置下可用。
- 提示：如果原生支援不理想，第三方工具如 YogaDNS 可以提供更靈活的 DoH 配置。
macOS：
- macOS 目前不提供直接、簡單的系統級 DoH 開關。雖然 macOS 在底層 discoveryd 服務中對 DoH 有一些支援，但對一般使用者來說，設定它需要更專業的配置（例如透過 plist 文件或命令列工具）。
- 對於系統級別的 DoH，通常需要使用第三方應用程式或工具，例如 dnscrypt-proxy 等。
Linux：
- Linux 環境下的 DoH 設定也通常需要手動配置。不同的 Linux 發行版和 DNS 解析器（如 systemd-resolved、dnsmasq 或 unbound）有不同的設定方法。
- 例如，使用 systemd-resolved，您可以在其配置文件中指定 DoH 伺服器。
- 對於更簡單的解決方案，可以安裝 dnscrypt-proxy 並進行配置。
- 與 macOS 類似，對於非專業使用者，在瀏覽器中啟用 DoH 往往是 Linux 上最方便的選擇。

綜合來看，在瀏覽器中啟用 DoH 是最簡單且對大多數人而言足夠的起步方式。如果您需要系統級別的 DoH 保護，則可能需要更多的技術操作或尋求第三方工具的幫助。

結論

DNS over HTTPS (DoH) 代表了網際網路隱私和安全領域的一個重要進步。透過加密您的 DNS 查詢，DoH 有效地彌補了傳統 DNS 協議的隱私漏洞，保護您的瀏覽習慣免受網路服務供應商和其他中間人的窺探。它不僅增強了您的個人隱私，還有助於防範惡意 DNS 篡改和中間人攻擊，甚至在某些情況下，能夠幫助使用者繞過基於 DNS 的內容審查。

儘管需要考慮到潛在的集中化問題以及對本地網路控制的影響，但 DoH 提供的優勢顯而易見。對於尋求更安全、更私密網路體驗的每一位使用者來說，啟用 DoH 都是一個簡單而有力的選擇。無論是透過瀏覽器設定，還是更進階的作業系統級配置，行動起來加密您的 DNS 流量，將是您邁向更安全線上世界的重要一步。

請記住，雖然 DoH 大幅提升了您的 DNS 隱私，但它並非全面的網路隱私解決方案。它主要保護的是 DNS 查詢的內容。若要實現更廣泛的網路流量加密和隱藏您的真實 IP 位址，VPN 仍然是不可或缺的工具。然而，將 DoH 納入您的網路安全習慣，無疑是一個值得採取的措施。