如何在谷歌浏览器中开启并配置DoH（DNS over HTTPS）安全解析？

你有没有遇到过这种情况：输入一个正确的网址，结果页面却跳转到了某个陌生的、充满广告的网站？或者某个你常去的网站突然就“人间蒸发”了，怎么都打不开？如果你的网络出现了这种“抽风”现象，背后很可能就是DNS在被动手脚——而DoH（DNS over HTTPS），就是对付DNS劫持的关键武器。它能把原本“裸奔”的域名查询请求，加密后藏进HTTPS隧道里，让中间任何设备都无法窥探或篡改。

通过图形界面开启并选择预设DoH服务商

这是最稳妥、门槛最低的开启方式。Chrome会自动检测你的网络环境，并协商可用的加密端点，对大多数用户来说，这几乎是一个“傻瓜式”操作。

具体操作分四步：首先，点击浏览器右上角的“三个点”菜单，进入“设置”；接着，在左侧导航栏点击“隐私和安全”，并在右侧找到“安全性”；然后，向下滚动到“高级”区域，找到“使用安全DNS”这个选项，把它打开；最后，在下拉菜单中，你可以任选一个预设的服务商，比如Google、Cloudflare、OpenDNS，或者国内的阿里云DNS（dns.alidns.com）。浏览器会自动加载对应的DoH地址，并在后台验证连接是否通畅。

这一步你什么都不用操心，不需要手动输入地址，也不需要重启浏览器，开关一开就生效。不过有一点需要特别提醒：如果你的网络环境（比如某些企业内网）屏蔽了标准的DoH探测，这种方式可能会静默失败，到时候就需要下面这种方法来手动指定了。

手动填入自定义DoH URI地址

当你想绕过浏览器的默认推荐、验证自己搭建的私有DoH服务，或者你的本地DNS已经被污染时，就必须强制指定一条加密的“专线”了。

按照上面说的路径，进入“使用安全DNS”设置页。在“选择如何处理安全DNS”的区域，勾选“使用特定的服务”这个单选按钮。接着，在下方的输入框中，粘贴一个完整的DoH地址，比如：

https://dns.google/dns-query
https://cloudflare-dns.com/dns-query
https://dns.alidns.com/dns-query
https://dns.quad9.net/dns-query

输入后稍等片刻，右侧会出现一个绿色的对勾图标，这代表Chrome已经成功连接并确认了该地址的有效性。如果出现的是红色叉号，那就要检查一下地址有没有拼错，或者网络是不是拦截了HTTPS请求。

这是一个更“硬核”的方法，适合高级用户。在地址栏输入chrome://flags并回车，进入实验功能页。在顶部的搜索框里输入dns over https，会看到一个“DNS over HTTPS (DoH) mode”的选项，把它设置为“Force HTTPS”模式。然后，再搜索add an insecure dns-over-https provider，启用这个选项，并在下方的输入框中填入之前用的那个DoH地址。最后点击页面底部的Relaunch按钮让浏览器强制重启。这样一来，浏览器会绕过所有自动协商逻辑，直接走你指定的加密通道。

验证DoH是否真正生效

配置好不代表就万事大吉了，必须现场确认加密路径是不是真的被调动起来。这一步很关键，千万别偷懒。

首先，在地址栏输入chrome://net-internals/#dns，打开DNS调试面板。然后，点击右上角的“Clear host cache”清空本地缓存，以免干扰验证结果。接着，访问任意一个网站（比如https://example.com），然后回到这个调试页面，点击“Query DNS”按钮。在下方的日志里，你应该能看到含有“https”字样的解析记录，比如“https://dns.google/dns-query”出现在“secure_dns_server”字段中。最后，也是最关键的一步：观察“Secure”这一列，看看它是不是显示的“true”。只有这一列是true，才说明你这次的域名查询是真正走在加密路径上，而不是降级成了明文的DNS。