初代 DNS 协议采用明文定义、基于 UDP 传递，在复杂的网络环境下，DNS 被污染、被篡改的情况尤其让人头痛。为改善这种情况，采用加密传输 DNS 内容不失为一个稳妥的方式。

目前有两种方式加密传输 DNS：（1）HTTPS，以及 （2）TLS。

HTTPS 方式通过加密的 HTTP 连接传递 DNS 报文， 而 TLS 显然就是通过加密的 TLS 连接传递报文。两种方式对 DNS 本身没有影响，只是采用了加密的传输而已。从效率的角度看，DNS over TLS （DoT）比 DNS over HTTPS （DoH）更好，毕竟 DoH 多了一层 HTTP 协议封装。

目前 Windows 系统默认都不支持 DoT，需要采用第三方的软件（某种程度上又变相引入了不安全因素）。比较好的解决方式是选择支持 DoT 的路由器，国内华为、荣耀等家用路由器不支持 DoT，而华硕、TPLink 等家用路由器支持 DoT。

公共 DNS 服务器一般都支持 DoT 服务，国内采用腾讯和阿里两家的公共 DNS 服务即可，默认的 DoT 服务器如下：

119.29.29.29 -- 腾讯 DNS 服务
223.5.5.5    -- 阿里 DNS 服务

香港地区（或者海外地区）建议采用 google 和 Cloudflare 的公共 DNS 服务即可，默认 DoT 服务器如下：

1.1.1.1 -- Cloudflare 的 DNS 服务
8.8.8.8 -- Google 的 DNS 服务