DNS over HTTPS(DoH)可以加密DNS查询,更好的保护我们的网络安全,在Chrome浏览器以及新版Microsoft Edge浏览器中,都提供了设置“安全DNS”的选项,也就是设置DoH服务器。
浏览器设置 – 隐私设置和安全性 – 安全 下的高级选项包含此功能,也可以直接访问地址chrome://settings/security。新版Edge浏览器的设置与Chrome浏览器基本相同,本文就以Chrome浏览器作为示例。
如上图中所示,启用“使用安全DNS”,然后选择或者自定义DoH服务提供商即可,上图中设置为Cloudflare(1.1.1.1)提供的服务,访问https://1.1.1.1/help可看到是否设置生效。
但是如果我们更改过浏览器政策,比如通过组策略或者注册表修改,就会导致无法设置安全DNS。
浏览器是否修改过策略最直观的表现是打开浏览器选项菜单会出现“由贵单位/你的组织管理”。
查看文章:为何浏览器会显示由你的组织或贵单位管理,选择是否删除这些策略,删除策略后可以继续设置安全DNS。如果这些策略为必须,我们可以通过策略的方法设置安全DNS。
1、通过组策略编辑器
要想通过组策略编辑器进行设置,需要安装Chrome或者Edge浏览器的策略文件,查看文章:Windows系统通过组策略控制Chrome浏览器,更多可控选项、如何使用策略来管理Microsoft Edge浏览器(Chromium核心)配置。
在开始菜单或运行中输入 gpedit.msc 打开组策略编辑器,选择 计算机配置 – 管理模板(如果安装了adm模板,则需要继续选择 经典管理模板(ADM) ) – Google – Google Chrome。
在右边找到 “控制 DNS-over-HTTPS模式”以及“指定所需 DNS-over-HTTPS 解析器的 URI 模板”。
双击“控制 DNS-over-HTTPS 模式”,选择“已启用”,并将下方的模式设置为“启用……且禁止”,相当于设置DnsOverHttpsMode为secure,点击确定。
继续双击下方的“指定……模板”设置,选择“已启用”,在下方的输入框中输入DoH服务方提供的URI,比如Cloudflare提供的 https://1.1.1.1/dns-query。
注意,有些服务方仅提供GET查询方式,所以可能需要按照其说明添加{?dns}变量。
2、通过注册表
在开始菜单或运行中输入 regedit 打开注册表编辑器,Chrome浏览器用户展开至HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome,Edge浏览器用户展开至HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge。
右键点击Chrome或Edge,选择 新建 – 字符串值,创建两个,分别命名为DnsOverHttpsMode和DnsOverHttpsTemplates,然后双击名称修改其数据,可以参考下图中的设置。
