浏览器中开启 DOH 和 ECH

• DOH (DNS over HTTPS)：HTTPS 协议上的 DNS 查询，可以防止 DNS 污染，提高安全性；
  • 传统上，DNS 查询以明文形式发送。任何在互联网上监听的人都能看到您正在连接哪些网站。
  • 为了确保 DNS 查询保持私密，应该使用支持安全 DNS 传输的解析器，例如 DNS over HTTPS (DoH) 或 DNS over TLS (DoT)。
  • 在此 查看支持的浏览器列表。现在可以按照这些 说明 在 Firefox 中配置 DNS over HTTPS。两者都可以确保您的 DNS 查询保持私密。
• ECH (Encrypted ClientHello)：客户端加密 Hello，可以防止 SNI 污染，提高安全性；
  • 加密客户端 Hello (ECH) 是 TLS 握手协议的一个扩展，可以防止握手的隐私敏感参数暴露给您和 Cloudflare 之间的任何人。这种保护还扩展到服务器名称指示 (SNI)，否则在建立 TLS 连接时会暴露您要连接的主机名。
  • 更多信息可查看Good-bye ESNI, hello ECH! (cloudflare.com)

开启 DOH

1. 设置中选择 隐私和安全 → 安全;
2. 转到 高级，启用 使用安全 DNS。然后选择一个 DNS 提供商（不懂直接选择 CloudFlare）;

开启 ECH

1. Chrome 地址栏中输入：chrome://flags/#encrypted-client-hello;
2. 将 Encrypted ClientHello 选项改为 Enabled ；

检测

1. 打开网页 Cloudflare 浏览器检查 | Cloudflare ，点击 检查我的浏览器 按钮;
2. 如在 安全的 DNS 处见到打勾，即可代表开启了 DOH;
3. 如在 安全 SNI 处见到打勾，即可代表开启了 ECH;

注意事项

• 如果是软路由就无所谓，不用管。
• 如果是其他客户端，则需要打开 TUN 模式，让其接管所有流量，不然浏览器就不会走自己的 DOH 服务，反而会交给代理软件去解析继而再给节点服务器 DNS 解析，导致无效。