主要观点：

• DoH 并非保护 DNS 查询免受窥探，而是确保只有一个窥探者能看到所有查询。
• 拒绝使用 DoH，在 Firefox 中打开 about:config 并将 network.trr.mode 设置为 5 可防止其使用 DoH。
• DNS over HTTPS（DoH）是用 HTTP 包裹 DNS 并使用 TLS 加密数据，倡导者称其能保护 DNS 查询免受窥探者如 ISP 或工作网络管理员的侵害，但反对者认为所有 DNS 查询都指向单个 DNS 提供商成为已知窥探者。
• DoH 加密不一定是好事，Mozilla 与 Cloudflare 合作在 Firefox 中实现 DoH 后，人们意识到 Cloudflare 会获取所有 DNS 查询，尽管 Cloudflare 有数据保护政策。
• 有替代方案 DNS over TLS，在 [RFC 7858] 中作为提议标准指定，提供 DNS 传输加密而不滥用 HTTP 作为传输协议。
• 作者并非反对 DNS 现代化和增加安全功能，只是认为 DoH 不是答案，滥用 HTTP 作为 DNS 数据传输协议增加了协议的复杂性，可能导致代码中有很多漏洞和安全缺陷，复杂性是安全的敌人。

关键信息：

• 2018 年 10 月 26 日更新。
• DoH 相关 RFC：[RFC 8484]、[RFC 7858]。
• Firefox 防止使用 DoH 的设置：打开 about:config 并将 network.trr.mode 设置为 5。

重要细节：

• DoH 基本思想是通过实施传输加密保护 DNS 查询免受窥探者侵害，与保护其他应用协议的传输加密类似。
• Cloudflare 是商业公司，靠卖数据赚钱。
• DNS over TLS 不滥用 HTTP 作为传输协议。