为什么运营商不自己搭建 DoH DoT 服务器呢？

加密了他们还怎么劫持用户访问, 还怎么搞钱

你猜猜最大，甚至除了政治目的之外唯一的 DNS 劫持群体是哪个。

```
但是如果运营商有加密 DNS 的话，可以防止家庭、学校或者企业内部局域网的恶意劫持。

```

杜月笙怕小瘪三抢他赌场的生意

脱裤子放屁

"家庭、学校或者企业内部局域网的恶意劫持"家庭的话别买小米就行,至于学校和公司你绕过控制的话小心收警告信.特别是公司.

工信部只是不想你访问某些网站，不仅不赚钱，还得投入大额预算。
运营商可是实打实的想让你多访问些网站，搞了 DoH 和 DoT 还怎么拦截插入广告呀。
http 时代，哪家县市级运营商不给你搞点网页广告，投诉都管不了几天的那种。

不是，doh 和 dot 普及了吗? os 现在默认使用了吗?运营商怎么下发给 os? 不能下发的话让用户自己配置? 知道怎么配置的用户会去用运营商的 dns?

没必要吧，出了路由器，光猫开始就是 ISP 直接控制的线路，根本没有中间人。

没办法合规的

自从 https 出现，监测用户访问网站的内容就很难了，但还是可以通过 https 握手知道访问了那个网站，如果 DoH 或者 DoT ，那就彻底不能知道用户访问的网站了

运营商自己的 DNS 来说，劫持论不太对吧。7 楼的才是真正的原因吧。

@proxytoworld 笔误，DNS 解析记录

现实生活中能独立选择并设置 UDP DNS 的人可能都不到 1%，而能做到这一点就会被称作精通电脑、懂网络的人了……
DOH DOT 这些玩意对技术宅司空见惯，但现实中还只是趋势，离普遍推开远着呢

恨不得 https 都消失呢 加密后无法监管 👻

@proxytoworld 还是知道的 HTTPS SNI

说个题外话，我了解某个安全公司掌握了某个很常用的 dns 服务器，就会依靠 dns 解析记录去溯源

@sunice 把 SNI 去掉就可以了，SNI 只不过是握手里的一个字段，不是每一个网站都依赖 SNI 。

如果网站真的想判断，读取 host 也是一样的。

动力是什么？没钱赚还事多

你说的这个有正式版 RFC 了吗，原来的 DNS53 作废了吗？

问题是没有法规强制推行，运营商推这个，还得重新培训业务员，投诉率也会上升，图啥？
现在推这个的，看起来伟光正，但是你怎么知道他们有没有用这个数据盈利（不劫持，仅仅是记录查询记录就有意义了）

但不能防止运营商劫持

不赚钱的项目，内部立项都困难。

@tool2d 正常网站都依赖 SNI
真的，不是抬杠

先 SSL 后 HTTP ，你说的 Host header 那是 SSL 之后的步骤了

以国家资本主义权贵资本主义为特色的社会主义，做好事永远漏洞百出，做坏事永远滴水不漏

@julyclyde "正常网站都依赖 SNI", 这个服务端可以配置的，SNI 的目的是一个 IP 托管多个域名。在 SSL 建立连接的时候，给浏览器发送合适的域名，用来验证签名。

如果省略 SNI ，那么服务端只要发送默认域名，就能顺利建立连接了。

据我所知，目前还 wall 没有域名证书里进行阻拦。阻断是在 SNI 的时候。

感觉加密也没多大实际意义

就算搞了, 会有多少人用吗? 都用 DoH DoT 了, 大家肯定更愿意相信阿里腾讯 /谷歌 CloudFlare 的 DoH, 而不是有过劫持前科的运营商.

当前的网络从设计上就相信了内网都是可信的设备, 如果你觉得你在的学校 /企业内网不可信, 你应该使用 VPN 连接互联网.

你猜运营商给你的 dns 服务器到你家之间有中间人吗

而且企业内部肯定是自行搭建 dns 服务器的，家用路由器大部分也带一个，总之就是没意义

@proxytoworld #16 奇安信呗，把 114.114.114.114 给买了。

@tool2d 按我的理解，在 tls1.3 以下版本的 https 握手前，如果服务端要求必须通过域名访问，那么不发送 SNI 就肯定无法成功建立链接。况且，用 HTTPS 绝大部份是通过域名访问的，因为证书需要校验域名。

没配置 sni 就能访问意味着通过 IP 地址也能访问，意味着该 IP 地址没有反向代理、CDN 、负载均衡等这类基础设施，这在目前成熟商用网络中很少出现。 所以你的假设根本不成立。

为什么国内到目前为止 tls1.3 几乎处于不可用？ 因为 tls1.3 中支持的 ECH 可以完全加密 SNI ，如果再加上 DoH/DoT 等 DNS 加密技术，那么对于运营商和监管部门来说，在网络层面的流量完全匿名，无法精确阻断了，你上谷歌 V2EX 他们再也管不了了。

你觉得他们真想搞这玩意么，ESNI 国内都没几个人碰更何况各种非 udp dns 了

@Greenm "没配置 sni 就能访问意味着通过 IP 地址也能访问", 我不是这个意思，不发送 SNI 字段，仅仅是服务器发送回默认域名的证书。还是会走正常域名验证的那一套完整流程。

从技术层面看，SNI 只是 ClientHello 里一个可选项，不是必选项。当然我也不否认，一部分网站必须提供 SNI 才能建立连接，这是和服务器代码强相关的。

@tool2d 你说得对，SNI 在 TLS1.2 及以前中确实不是强制要求的， 但这种场景非常少见，大部分网站必须要求提供 SNI 才能找到正确的域名建立连接。

@tool2d 我觉得你是只学了一些技术，却缺乏生产环境的经验，才会这样说的吧
因为生产环境有需求，所以服务器才会配置 SNI 。这根本就不是个技术上可选与否的问题

@julyclyde 我最后一句有提到的，你觉得为什么要刻意不去配置 SNI ，还不是为了能顺利跳过 SNI 阻断。

这不算服务器的问题，而是客户端的问题。只要客户端不发送 SNI 并且顺利获取证书后握手成功，就不会出现被强制阻断的情况。

@tool2d 客户端不发送 SNI 会访问不了绝大多数网站吧

SNI 是方法，提供多个域名服务是目的。
解决的方法是 ESNI 和 ECH 。
带来的问题是 DNS 会越来越重，增加了基建的复杂度，Cloudflare / Google 等的话语权会变得更重。

@proxytoworld 就不该知道用户访问 什么了。就该保护，你看看当前的手机卡实名制，只是对外打着保护隐私的幌子做了遮羞布。

@Greenm 他们为什么要精准阻断？肯定是目的不纯。

@bclerdx 说实话，实名制反而造成更大的信息泄露、诈骗，实名制只是方便了跨省。。

@Greenm 通过浏览器查看 V2EX 的相关域名已经是 TLS 1.3 协议了，是不是就已经意味着访问 V2EX 的途中，SNI 已经加密了？

@bclerdx ECH 在 TLS1.3 中只是一个扩展，并不强制要求，为了向前兼容很多时候在 TLS1.3 还是会发送 SNI ，要确认是否启用了 ECH ，可能需要抓包。

@bclerdx ech 只是 TLS1.3 的一个扩展，并且需要用 doh 才能开启