加密DNS成为共识

知道了DNS劫持现象的基本原理，对于它的防范手段其实也就呼之欲出了。没错，只要把从本机到DNS之间的信息传输改成高度加密的格式，让中途经过的服务器无法嗅探，劫持自然也就不可能进行。

正因为如此，早在数年前，硅谷的一众技术巨头就开始进行加密DNS通信的技术探索。简单来说，只要消费者使用的浏览器以及远端的DNS服务器两边都能支持加密传输，就可以很简单地做到网址和IP地址信息的密文发送。而随

着像Cloudflare DNS与Google DNS这样的知名DNS服务商，在近年来相继宣布了对DNS加密的支持，普通用户也终于迎来了DNS安全传输的时代。

火狐浏览器的DNS加密功能内置了与之配套的DNS服务

最早做出响应的是一向在技术上表现激进的Firefox（火狐）浏览器，早在2019年9月，其就已经宣布将全线支持DNS加密传输技术。通过浏览器内默认打开的DNS加密选项，以及内置支持加密传输的Cloudflare DNS，火狐为用户

提供了一个便利的、防止DNS被劫持的手段。

不过火狐虽然“先进”，但它客观上的确没有很高的市场份额，因此这就意味着无论是对于推动加密DNS产业普及，还是对于震慑DNS劫持者来说，光靠他们一家的努力是肯定不够的。好在，作为和Mozilla共同推进DNS加密的“

战友”之一，苹果总算在近日出手了，而且阵仗还真不小。

根据此次WWDC上公布的信息显示，iOS 14与macOS Big Sur（也就是macOS 11.0）将会同时加入对DNS加密功能的支持。这种支持并不是简单地增加一个用户可选的功能开关，而是在整个系统层面上引入了各种与DNS加密相关的特

性。

首先，新系统将会实现对DNS加密通信的全局支持，这意味着原则上所有的流量默认都会经过加密DNS服务器进行通信，所有通过这一新版系统传出的DNS请求，都可以避免遭到DNS劫持或污染。体现在用户的实际感受上来说，首

要的变化就是弹窗广告会有所减少，其次就是部分网站的访问延迟也有望大幅下降。

其次，针对某些不便于启用全局DNS加密通信的用户，苹果也在最新的开发工具中为开发者提供了DNS加密相关的扩展程序和配置文件。如此一来，在将来适配iOS14或者新macOS的软件中，用户也能选择让单个软件（比如浏览器

、即时通讯工具、网盘）启用加密DNS功能，从而防止特定的个人信息遭到泄露。

不仅如此，从苹果方面公布的一份系统截图来看，新的iOS系统甚至会自动检测加密DNS服务器的可用性。如果用户当前所连接到的网络恶意屏蔽了对加密DNS服务器的连接，则系统会自动弹出警告，并告知使用者存在信息泄露的

风险。