无法上网dns转发_Google提供DNS-over-TLS服务，增进上网隐私保障

Google在大约8年前开始提供公共DNS服务，有助于增加一般用户使用网络、浏览网页的速度，而近期Google也着手导入DNS-over-TLS服务，通过TLS加密技术，将DNS的通信进行加密保护，让用户上网的隐私与安全更加有保障。

等等，这是什么绕口令？其实8.8.8.8是Google提供的公共DNS服务，2018年8月正好是它的8周年纪念。或许有些读者曾经有过把计算机的DNS服务器改成8.8.8.8，上网速度就变快了的经验，倒底DNS是什么呢？

DNS的全名为Domain Name System，中文翻译为域名服务器，简单地说它的功能如同网络世界的电话簿，能将网址转译为IP地址。

IP地址是分配给连上网络的设备所使用的数字标签，各设备之间需要知道彼此的IP地址才能互相沟通。以目前比较普遍的IPv4地址为例，是由32位的数字组成，会分成4组并以10进制方式书写，例如“208.80.152.2”，而下一时代的IPv6地址，则是128比特的数字，并以8组16进制方式书写，例如“2001:0db8:85a3:08d3:1319:8a2e:0370:7344”。

由于人类不容易记住这种长串数字，所以我们才会使用如“https://www.xxx.com”这样的文本来作为连到网站时所用的网址，并通过DNS将网址转换为IP地址。

DNS能把网址转换为IP地址，不好的DNS可能需要查询多台服务器才能得到正确数据，造成速度瓶颈。

根据IETF(Internet Engineering Task Force，互联网工程任务小组)的RFC 7858备忘录记载，在2016年5月当时，几乎所有的DNS流量都未经加密，容易形成网络安全弱点并降低隐私保障，即便有DNSSEC(Domain Name System Security Extensions，域名系统安全扩展)让用户能够验证DNS服务器的数据，避免攻击者篡改回传的IP地址，进而引导跳转至恶意网页，但仍无法避免窃听的问题。

DNS-over-TLS的概念相当简单，在客户端与主机创建链接的过程中，双方会选用众所周知的通信端口，并同意通过TLS对谈(Session)来保护DNS链接、传输数据时的安全，杜绝攻击者窃听的可能。 Google也为了确保用户的安全与隐私，公共DNS服务，导入这个措施。

用户可以选择严格或宽松等2种不同的DNS-over-TLS设置范本，前者的DNS服务器需要遵循RFC 8310的域名名称验证规范，在853端口创建TLS安全链接，否则会让DNS服务失效。后者则会通过DHCP等方式取得DNS组态设置，并会在无法创建安全链接时，自动改采UDP或TCP与标准的53端口与DNS通信，具有通用性较高的优点，但缺点是客户端不会验证服务器的真实性，让安全性打些折扣。

为了提升服务性能，Google也参考了IETF RFC 7766备忘录，通过使用TLS1.3 (可提升链接速度与增加安全性)、TCP快速打开(TCP Fast Open)、多重查询管线化(Pipelining of Multiple Queries)、乱序回应等方式，降低使用TLS所造成的性能虚耗。

DNS-over-TLS可以增加上网的安全与隐私保障。

目前Google已经开放Android 9设备使用DNS-over-TLS，用户只要到“设置-> 网络-> 高端-> 私密DNS”中，在服务器名称填入“dns.google”并保存即可，较旧版Android则不支持DNS-over-TLS。

至于其他设备的用户，可以手动将IPv4的DNS服务器设为8.8.8.8、8.8.4.4.，IPv6则为2001:4860:4860::8888、2001:4860:4860 ::8844，一样也可以享受DNS-over-TLS的保障。