在传统的互联网环境中，DNS 查询过程是明文传输的。这意味着用户访问的网站、使用的服务、甚至网络活动习惯，都可能被网络服务提供商(ISP)、黑客或第三方监控机构截获和分析。为了弥补这一安全缺陷，DoH(DNS over HTTPS)和 DoT(DNS over TLS)两种加密协议应运而生。它们的目标都是让 DNS 通信过程加密、不可篡改，保护用户的隐私安全，但在实现方式、性能、兼容性和应用场景上却存在显著区别。

　　如果把传统 DNS 比作“明信片”，那 DoH 和 DoT 就像在寄送信息前给信件装上了信封。明信片在传输途中任何人都能看到内容，而加密 DNS 就把内容隐藏起来，只允许收件人读取。这一理念的核心是：让用户的上网请求在传输过程中免受窥探与篡改。

　　从技术层面看，DoT是通过 TLS(传输层安全协议) 来加密 DNS 查询。TLS 是 HTTPS、IMAPS 等协议通用的安全基础，它在 TCP 层与应用层之间建立一条加密通道。换句话说，DoT 仍然使用传统的 DNS 协议结构，只是让传输的内容通过 TLS 进行保护。这样既保留了 DNS 的标准接口，也确保通信的机密性。DoT 通常使用 853 端口，是一个独立于普通网络流量之外的加密信道。DoH则是另一种思路。它把 DNS 查询嵌入到标准的 HTTPS 协议 里，通过端口 443 发送请求。因为 HTTPS 本身就基于 TLS 加密，所以 DoH 实际上是将 DNS 封装在网页请求中。这样做的最大优势是：在外部网络看来，DoH 流量与普通的网页访问没有区别，无法被轻易识别或阻断。这让 DoH 在隐私保护、抗干扰方面表现尤为突出。  

　　从隐私角度看，DoH 的优势在于它可以完美地隐藏 DNS 请求。运营商或中间人很难仅通过端口或协议特征判断哪些流量是 DNS 查询，哪些是网页访问。对于希望绕过网络监控、提升隐私性或防止 DNS 劫持的用户，DoH 是更理想的选择。Firefox、Chrome 等主流浏览器早已内置 DoH 功能，用户启用后，浏览器的所有域名解析都通过 HTTPS 发送到指定的 DoH 服务器，从而实现端到端的加密。而 DoT 则更受网络管理员和系统级服务的青睐。因为 DoT 在协议层更“纯粹”，它只负责 DNS 加密，不与其他网络流量混在一起。对于企业网络或家庭路由器来说，DoT 的独立端口更容易做流量管理和安全监控。例如，一些防火墙或安全网关可以直接识别 853 端口的 DoT 流量，从而有选择地允许、记录或限制 DNS 请求。也正因为这一点，DoH 和 DoT 在部署场景上出现了明显的分化。DoH 更多应用于终端层(如浏览器、移动应用)，它强调用户隐私和可绕过性;而 DoT 常见于系统层(如操作系统、网络设备)，它强调安全合规和可控性。

　　从性能角度来看，二者也有微妙的差别。由于 DoH 通过 HTTPS 传输，封装层级较多，协议栈更复杂，理论上会带来轻微的延迟开销。但在现代网络环境下，这种延迟几乎可以忽略不计。另一方面，DoH 在支持 HTTP/2、HTTP/3(基于 QUIC 协议)后，连接复用和多路传输能力更强，反而在高并发场景下具备更好的性能表现。DoT 的连接过程相对直接，建立 TLS 握手后即进行 DNS 查询，协议结构更轻量，因此在传统 TCP 网络环境中可能略快一些。总体而言，两者在实际使用中的性能差距极小，真正的差异主要取决于 DNS 解析器的响应速度和地理位置。

　　然而，隐私与可控性往往是一对矛盾。对于个人用户而言，DoH 的封装性让他们的上网行为更难被追踪，这是隐私保护的胜利。但对于企业或学校网络管理者来说，DoH 反而会带来安全风险。因为所有 DNS 请求都通过 HTTPS 隧道传输，传统的 DNS 日志分析、黑名单过滤、内容审查等手段将失效。这意味着网络管理员难以掌控终端访问哪些域名，也无法阻止访问恶意站点。因此，一些机构选择在网络层禁止 DoH 流量，转而统一使用 DoT 或企业级加密 DNS 网关。DoT 在这方面更平衡一些。虽然它同样加密 DNS，但因其使用独立端口，管理员仍可进行策略管理，甚至可以在企业内部部署自己的加密 DNS 服务器，既保障安全又保持可控。这也是为什么在组织级网络中，DoT 的应用更广泛。

　　从安全机制角度看，DoH 与 DoT 都使用相同的加密基础——TLS(传输层安全)。两者在安全强度上几乎一致，都能防止 DNS 请求被窃听或篡改。但差异在于封装层的复杂程度。DoH 属于“应用层加密”，通过 HTTP 传输，灵活度高、兼容性强;DoT 属于“传输层加密”，结构更稳定、部署更规范。换句话说，DoH 更像是“DNS 的互联网化演变”，而 DoT 更像是“DNS 的加密升级”。

　　从未来趋势来看，加密 DNS 将逐渐成为互联网通信的标准配置。无论是 DoH 还是 DoT，其核心目标都是让 DNS 不再成为网络隐私的薄弱环节。随着 HTTP/3、QUIC、Ech等新技术的普及，未来 DNS 加密将更加透明化与普适化。或许在不久的将来，用户无需再关注使用的是哪种协议，因为所有 DNS 查询默认都会加密、安全、不可追踪。

　　常见问答(FAQ)

　　Q1：DoH 与 DoT 哪个更安全?

　　A1：两者的安全强度几乎相同，都是基于 TLS 加密，防止 DNS 请求被截获或篡改。真正的区别在于应用层实现方式和使用场景，而不是加密强度。

　　Q2：我该选择 DoH 还是 DoT?

　　A2：如果你更注重隐私、使用浏览器上网较多，建议启用 DoH;如果你是系统管理员或希望全局 DNS 加密，建议使用 DoT。

　　Q3：DoH 会影响上网速度吗?

　　A3：理论上 DoH 的 HTTPS 封装会略增加延迟，但现代网络和 HTTP/2、HTTP/3 优化后几乎无感。多数用户甚至会觉得解析速度更快。

　　Q4：开启 DoH 是否可以完全避免被跟踪?

　　A4：不能。DoH 只加密 DNS 查询，无法隐藏你的 IP 地址或浏览历史。若需更全面的隐私性，还需结合Tor 等技术。

　　Q5：企业是否应禁止 DoH?

　　A5：视情况而定。若需要集中管理网络访问、监控安全风险，可统一使用 DoT 并禁用 DoH，以保持可控性和审计能力。

　　Q6：两者能否同时启用?

　　A6在技术上可以，但一般系统或应用会优先使用其中一种协议。混用并不会提升安全性，反而可能增加调试复杂度。

　　Q7：DoH 是否会绕过本地 DNS?

　　A7：是的。启用 DoH 的浏览器会直接向 DoH 服务器发起请求，不再经过本地 DNS 解析，因此可能绕过局域网规则。