firefox 的 DoH(dns over https) 实际上 over http

你的发现，弥补了人类的空白

测试了一下
配置成 https://1.1.1.1/dns-query
然后用 wireshark 抓包，确实是通过 tls 1.2 访问的。
你的服务器上 https 证书放的是什么类型的，是自签名的吗？

如果是，重新生成一下证书，使用者可选名称把 IP 地址也加进去
1.1.1.1 的证书是这样的

DNS Name=*.cloudflare-dns.com
IP Address=1.1.1.1
IP Address=1.0.0.1
DNS Name=cloudflare-dns.com
IP Address=2606:4700:4700:0000:0000:0000:0000:1111
IP Address=2606:4700:4700:0000:0000:0000:0000:1001


参考一下这里
https://github.com/hardillb/dns-over-https/blob/master/README.md


First you need to SSL certificate for your server because the broker will only request DNS lookups from a secure server. Normally I'd go with Letsencrypt but unfortunately they won't issue a certificate for a raw IP address.

If you don't want to pay for a "real" certificate I've included a script to build a self signed for the IP address you are going to run this on.

./mkCert.sh 192.168.1.1

@whoops 用的是 letsencrypt 证书

我发现来源请求的 ip 地址不是我的公网 ip,而是一组美国 ip

@fangdingjun
1、发现你的 network.trr.bootstrapAddress=1.0.0.1,应该是你服务器的 IP 地址

2、证书中没有包含服务器 IP，参考一 3 楼的链接中的内容，如果可以试着用自签名，重新签名一下
Normally I'd go with Letsencrypt but unfortunately they won't issue a certificate for a raw IP address.
上面说 Letsencrypt 不能签 raw IP 的。

3、我觉得你应该在你的客户端，也就是 firefox 所在的 pc 机上抓包分析以下看，配置后访问其他网站，看看 firefox 进行 doh 的请求到底请求到哪里。

4，源请求的 ip 地址不是我的公网 ip,而是一组美国 ip，这是 nginx 看到的吧 ，可能是爬虫吧。

@fangdingjun 楼上说的对，你为什么要把 network.trr.bootstrapAddress 填成 1.0.0.1 而不是你服务器的 IP 地址，显然这个 IP 属于 cloudflare 而不是你服务器的 IP 。
你的服务器不需要一定配置昂贵的 IP 证书，只需要普通的域名证书即可，条件是配置 network.trr.uri 后必须正确配置 network.trr.bootstrapAddress 。