DNS(域名系統)的主要功能是將域名解析成IP地址,域名的解析工作由DNS服務器完成。從安全角度來看,域名解析的請求傳輸時通常不進行任何加密,這導致第三方能夠很容易攔截用戶的DNS,將用戶的請求跳轉到另一個地址,常見的攻擊方法有DNS劫持和DNS污染。因此,使用不加密的DNS服務是不安全的,雖然我們已經用了幾十年。
Windows 11 支持安全 DNS(加密 DNS),而且自 Edge/Chrome 109 起,安全 DNS 默認啟用,當路由器(比如小米)不支持時會出現證書錯誤的問題,此時要么關閉瀏覽器的安全 DNS,要么指定網絡適配器的 DNS。
加密 DNS 以后會是主流,運營商會跟進,路由器商也會跟進,此文可作為過渡方法,不過即使他們跟進后也不需修改已經配置好的 DNS。
指定網絡適配置 DNS 有兩種方式,一種是最簡單的網上一搜就能找到的配置 DNS 的方式,這里主要講的是配置加密 DNS 的方式。
此文選用阿里 DNS:
-
IPv4
223.5.5.5
223.6.6.6
-
IPv6(僅需在支持 IPv6 的網絡中配置,否則可能會引起一些問題)
2400:3200::1
2400:3200:baba::1
-
DoH
按下面的圖序操作即可。
編輯 DNS 服務器
手動配置 DNS 服務器
配置 IPv4 DNS 服務器
如果你的網絡環境支持 IPv6 的話才需設置 IPv6 的 DNS,否則此時就可以保存退出了。
配置 IPv6 DNS 服務器
至此就配置完了加密 DNS,再打開 Edge 或 Chrome 訪問就不會再報證書錯誤的問題了。
