你是否遇到过这样的情况：在谷歌浏览器里输入一个熟悉的网址，页面却跳转到了一个完全陌生的地方？或者搜索某个关键词，结果里混入了大量不相关的广告链接？

这很可能不是你的错觉，而是遭遇了DNS劫持。简单来说，你的域名查询请求在传输过程中被“中间人”截获并篡改了。

要抵御这种网络层面的窥探与干扰，启用安全DNS（DNS over HTTPS，简称DoH）是一个有效的解决方案。它将你的DNS查询请求像浏览HTTPS网站一样进行加密，使得网络上的其他设备无法窥探或篡改你的访问意图。

下面，我们就来详细了解一下在谷歌浏览器中配置安全DNS的五种具体方法。

一、通过浏览器设置启用预设安全DNS提供商

这是最直接、最用户友好的方式。Chrome浏览器内置了图形化界面，让你可以从几个受信任的服务商中直接选择，一键开启加密DNS，无需记忆复杂的地址。

操作路径非常清晰：

• 点击浏览器右上角的三个点菜单，进入“设置”。
• 在左侧导航栏找到“隐私和安全”选项，点击进入。
• 选择右侧的“安全性”菜单。
• 向下滚动到“高级”设置部分，找到“使用安全DNS”选项。

将旁边的开关切换到开启状态。然后在下拉菜单中，选择一个你信赖的服务提供商，例如Google、Cloudflare 或 OpenDNS。

选择完成后，浏览器会自动配置好对应的加密DNS端点。整个过程无需任何技术干预，就能有效阻断明文DNS的劫持路径。

二、手动输入自定义安全DNS提供商地址

如果你所处的网络环境比较特殊，预设的服务商可能无法访问，或者你更倾向于使用某个特定的、支持DoH的DNS服务，那么手动指定地址就是你的最佳选择。

这种方式能确保所有查询都强制通过你指定的加密隧道进行。

操作前几步与第一种方法相同，进入“使用安全DNS”的设置界面。关键的不同在于，在“选择如何处理安全DNS”区域，你需要选择“使用特定的服务”这个单选按钮。

随后，在下方出现的输入框里，键入完整的DoH服务URI地址。常见的地址包括：

• https://dns.google/dns-query（谷歌）
• https://cloudflare-dns.com/dns-query（Cloudflare）
• https://dns.quad9.net/dns-query（Quad9）

输入后，浏览器通常会进行即时验证。如果地址旁显示绿色对勾，就说明配置成功并已生效，无需重启浏览器。

三、通过chrome://flags强制启用底层DoH协议栈

有时候，常规的设置可能因为网络策略等原因未能成功触发DoH加密。这时，我们可以通过浏览器的实验性功能页面，从底层强制启用它。

这个方法适用于那些检测到劫持迹象，但标准设置却“失灵”的场景。

操作步骤如下：

1. 在浏览器地址栏直接输入chrome://flags并访问。
2. 在页面顶部的搜索框里，输入关键词dns over https进行筛选。
3. 找到名为“DNS over HTTPS (DoH) mode”的选项。
4. 点击其右侧的下拉菜单，将默认设置改为Enabled。

更改后，页面底部会提示需要重启浏览器，点击Relaunch按钮即可。这个操作能有效防止协议被降级回不安全的明文解析。

四、通过注册表强制配置全局安全DNS（Windows系统）

对于需要统一管理的企业环境，或者希望为家庭设备设置一道防篡改加固的用户，可以通过修改Windows注册表来实施全局策略。

这样配置后，无论谁使用这台电脑上的Chrome浏览器，都会强制使用加密DNS。

请注意，此操作需要管理员权限。

具体步骤：

1. 按下Win + R，输入“regedit”并回车打开注册表编辑器。
2. 导航至以下路径：HKEY_LOCAL_MACHINESOFTWAREPoliciesGoogleChrome。
3. 在该路径下，我们需要新建两个字符串值。

首先，在右侧空白处右键，选择“新建”->“字符串值”，将其命名为DnsOverHttpsMode。双击它，将数值数据设置为secure。

接着，再次右键新建一个字符串值，命名为DnsOverHttpsTemplates。双击后，在数值数据栏填入你想要强制使用的DoH地址，例如：https://dns.google/dns-query。

完成后关闭注册表编辑器，策略即刻生效。

五、验证安全DNS是否生效

配置完成后，如何确认加密DNS真的在起作用，而不是仅仅开关打开了而已？Chrome提供了一个内置的诊断工具，可以给你权威的答案。

在地址栏输入chrome://net-internals/#dns并访问。

验证流程：

1. 为了获得干净的测试结果，可以先点击左上角的“Clear host cache”按钮清空本地DNS缓存。
2. 然后，点击“Start Recording”开始记录DNS活动。
3. 此时，新开一个标签页，访问任何一个网站（比如 example.com）。
4. 等待页面加载完毕后，回到诊断页面，点击“Stop Recording”停止记录。

最后，仔细查看下方记录的列表。你需要找到包含你刚才访问域名的条目，并确认其“Protocol”一列显示为HTTPS，并且“Provider”字段与你配置的服务商相符。

只有看到这些信息，才能确信你的网络流量已经受到了加密保护。

《夸克》非常好用的免费AI浏览器

下载APP查看