DNS over HTTPS

DNS over HTTPS（DoH）是一种通过标准 HTTPS 加密协议传输 DNS 域名解析查询的网络安全技术。它将传统以明文 UDP 数据包传输的 DNS 请求和响应封装在加密的 HTTPS 连接中，有效防止 DNS 查询内容被网络路径上的第三方窃听、篡改或进行基于 DNS 的流量审查和过滤。 DoH 的工作原理是将 DNS 查询以标准的 HTTP POST 请求（携带 application/dns-message 类型的二进制 DNS 报文）或 HTTP GET 请求（使用 Base64url 编码的查询参数）的形式发送到支持 DoH 的公共 DNS 解析器服务（如 Cloudflare 1.1.1.1/dns-query、Google 8.8.8.8/dns-query）。DNS 响应同样通过加密的 HTTPS 通道返回，网络中间人无法看到用户正在解析哪些域名。 对短链接服务而言，DoH 在两个层面产生重要影响：在用户端，DoH 保护了用户解析短链接服务域名时的隐私，网络运营商（ISP）无法通过监控 DNS 查询得知用户正在访问哪些短链接；在服务端，短链接服务在验证和解析目标 URL 的域名时启用 DoH 可以有效防止 DNS 缓存投毒和 DNS 劫持攻击，确保重定向目标的准确性。 部署实施考量：DoH 在首次连接时可能增加少量解析延迟（需要先建立 HTTPS 连接），但后续查询可复用连接；企业内网管理员可能需要调整网络安全策略以适应 DoH 绕过传统 DNS 过滤的特性；短链接服务应将 DoH 作为 DNS 解析的可配置选项，特别是在对安全性和隐私性要求较高的企业部署场景中优先启用。