Windows 11 + Chrome 实战:5分钟搞定DoH和ECH配置(附阿里云DNS模板)
最近在折腾网站的时候,发现一个挺有意思的现象:有些域名明明没有被彻底阻断,但用 Safari 访问就是显示“连接已重置”,而 Chrome 和 Firefox 却能正常打开。折腾了半天,发现根源出在 TLS 握手过程中的一个叫 SNI 的字段上。这玩意儿是明文的,网络中间人能看到你具体想访问哪个网站,并据此进行阻断。而 Chrome 和 Firefox 之所以能访问,是因为它们默认或通过配置,启用了一套组合拳:DoH 和 ECH。
听起来有点技术?别担心,今天我们就用最接地气的方式,在 Windows 11 上,配合 Chrome 浏览器,手把手教你配置这套“隐私增强套餐”。整个过程,从理解到实操完成,真的用不了5分钟。我们会聚焦于国内可稳定访问的阿里云公共 DNS 服务,确保每一步都清晰、可落地。
1. 从“连接重置”说起:DNS与SNI的两道隐私缝隙
在开始动手前,我们得先弄明白要解决什么问题。当你访问一个 HTTPS 网站时,你以为所有流量都被加密了,对吧?但实际上,在加密隧道建立之前,有两个关键步骤仍然是“裸奔”的。
第一道缝隙:DNS 查询。 当你在浏览器输入 example.com,电脑首先要问 DNS 服务器:“这个域名对应的 IP 地址是多少?” 传统的 DNS 查询使用 UDP 协议,而且是明文传输。这意味着,从你的电脑到 DNS 服务器路径上的任何一个节点(比如你的运营商),都能清楚地看到你在查询哪个域名。虽然他们看不到你后续在网站上的具体操作(因为 HTTPS 内容已加密),但知道你访问了 example.com 这件事本身,就足以构成隐私泄露。
第二道缝隙:SNI(服务器名称指示)。 这是 TLS(HTTPS 背后的加密协议)握手的一个环节。现在很多网站共用同一个服务器 IP(比如 CDN 服务),服务器需要知道你到底想访问它托管的哪一个网站,才能返回正确的 SSL 证书。这个“告知”的信息就是 SNI。不幸的是,在 TLS 1.3 及之前的版本中,SNI 在握手初期也是明文发送的。所以,中间人同样能通过窥探 SNI,知道你正在连接 example.com。
这两道缝隙,就是导致某些网站访问异常(如 SNI 阻断)和用户隐私泄露的元凶。而 DoH 和 ECH,正是为了填补这两道缝隙而生的技术。
- DoH:全称 DNS over HTTPS。它把 DNS 查询请求包装成普通的 HTTPS 流量,通过 443 端口发送。这样一来,DNS 查询就和浏览网页的流量混在一起,既被加密,又难以被单独识别和干扰。
- ECH:全称 Encrypted Client Hello。它加密了整个 TLS 握手的“客户

1093

被折叠的 条评论
为什么被折叠?



