與傳統 DNS 相比,DOH(通過 HTTPs 加密發出 DNS 請求) 雲端服務的性能影響很小,大多數情況只慢6毫秒,連接錯誤率也沒有明顯差異,但是卻比 DNS 更安全,使用者隱私能受到更好的保護。
Mozilla 今年3月時,在 Firefox Nightly 版本進行了 DOH(DNS Over HTTPS)與傳統 DNS 的比較實驗,探討後者是否能被前者取代,結果顯示雖然 DOH 服務平均比傳統 DNS 慢6毫秒,但是相比之下,DOH 不止服務更安全,而且在極端情況下,甚至能比傳統 DNS 的回應還快幾百毫秒。
現在的瀏覽器用戶依賴不夠安全的傳統 DNS 協議來訪問目標網站,可能面臨被追蹤(Tracking)或是欺騙(Spoofing)等風險。Mozilla 引用了2018年 Usenix 安全研討會的論文,研究顯示 DNS 服務現在正受到嚴重的干擾,而且面臨各種資料收集的隱私威脅。Firefox 開發了 DOH 技術,讓瀏覽器從一個或多個可信任的服務中獲取 DNS 信息,以提供高安全與高隱私的 DNS 服務。
由於以可信任的 DOH 雲端服務取代傳統 DNS 是一個劇烈的改變,在選擇 DOH 服務器時需要考慮很多因素,因此 Mozilla 對此展開了測試,主要想了解兩個問題,第一個,使用 DOH 是否能取代傳統 DNS?第二個,使用 DOH 是否會出現額外的連接錯誤?在7月的時候有約 25000 名 Firefox Nightly 63 使用者參與了 Cloudflare 與 Mozilla 共同舉行的測試,測試總共收集到了超過十億條的 DOH 數據,目前測試已結束。
結果顯示,與傳統 DNS 相比,和雲端服務供應商合作使用 HTTPS 發出 DNS 請求,在無緩存的 DNS 查詢上,性能影響很小,大多數的查詢只慢了約6毫秒,但從權衡安全性和保護隱私數據的角度出發,這是可以被接受的成本。而且在某些情況下,甚至能比傳統 DNS 還快幾百毫秒。
另外,這個測試除了解性能方面的影響,還考慮了連接錯誤率,在軟故障(Soft-fail)模式下使用 DOH 雲端服務的用戶,和傳統 DNS 用戶相比,錯誤連接率並沒有明顯差異。軟故障模式主要使用 DOH,當域名無法正確解析或是 DOH 提供的地址連接失敗時,便退回使用傳統 DNS。
Mozilla 提到,他們正努力於創造一個可信任的 DOH 供應商生態,以滿足較高標準的數據處理需求,後續會在一組供應商中或是依照地理位置劃分 DNS 傳輸,這項試驗可能會在不久之後進行。
閱讀更多 安全研究社 的文章
