与传统 DNS 相比,DOH(通过 HTTPs 加密发出 DNS 请求)
云端服务的性能影响很小,大多数情况只慢6毫秒,连接错误率也没有明显差异,但是却比
DNS 更安全,使用者隐私能受到更好的保护。

继谷歌宣布DoH普遍可用后,Mozilla决定从2019年9月底开始,向美国Firefox用户推出DNS
over HTTPS。

原标题:Mozilla 公布 DNS over HTTPS 实验结果

Mozilla 今年3月时,在 Firefox Nightly 版本进行了 DOH(DNS Over
HTTPS)与传统 DNS
的比较实验,探讨后者是否能被前者取代,结果显示虽然
DOH 服务平均比传统 DNS 慢6毫秒,但是相比之下,DOH
不止服务更安全,而且在极端情况下,甚至能比传统 DNS 的回应还快几百毫秒。

我们计划从9月底开始在美国逐步推出DoH。我们先为一小部分用户启用DoH,同时监视任何问题,然后再面向更多的用户。如果进展顺利,在全面推广DoH之前还会发通知。

Mozilla 早些时候 发布了 Firefox 的 Nightly 版本,引入了 DNS over HTTPS
(DoH) 功能。它邀请了用户测试被称为 Trusted Recursive Resolver
(TRR)的加密域名解析功能。今天的 DNS 解析通常没有加密,不安全,采用 DoH
将让 DNS 解析更安全。

现在的浏览器用户依赖不够安全的传统 DNS
协议来访问目标网站,可能面临被追踪(Tracking)或是欺骗(Spoofing)等风险。Mozilla
引用了2018年 Usenix 安全研讨会的论文,研究显示 DNS
服务现在正受到严重的干扰,而且面临各种资料收集的隐私威胁。Firefox 开发了
DOH 技术,让浏览器从一个或多个可信任的服务中获取 DNS
信息,以提供高安全与高隐私的 DNS 服务。

在过去两年进行了许多实验之后,该组织决定在Firefox中默认使用DoH。Mozilla使用第三方Cloudflare作为DoH,因为它遵循一项严格的隐私协议,这意味着所有的用户流量都通过Cloudflare网络。

现在,Mozilla 公布了 DNS over HTTPS 的实验结果。有大约 2.5
万用户参与了实验,产生了超过 10 亿 DoH 事务。

由于以可信任的 DOH 云端服务取代传统 DNS 是一个剧烈的改变,在选择 DOH
服务器时需要考虑很多因素,因此 Mozilla
对此展开了测试,主要想了解两个问题,第一个,使用 DOH 是否能取代传统
DNS?第二个,使用 DOH 是否会出现额外的连接错误?在7月的时候有约 25000 名
Firefox Nightly 63 使用者参与了 Cloudflare 与 Mozilla
共同举行的测试,测试总共收集到了超过十亿条的 DOH 数据,目前测试已结束。

大多数情况下,DNS请求都是在公开的情况下完成的,监听这个过程能够获得站点和IP地址的记录。与传统DNS相比,DOH云端服务的性能影响很小,大多数情况只慢6毫秒,连接错误率也没有明显差异,但是却比DNS更安全,使用者隐私能受到更好的保护。

图片 1

结果显示,与传统 DNS 相比,和云端服务供应商合作使用 HTTPS 发出 DNS
请求,在无缓存的 DNS
查询上,性能影响很小,大多数的查询只慢了约6毫秒,但从权衡安全性和保护隐私数据的角度出发,这是可以被接受的成本。而且在某些情况下,甚至能比传统
DNS 还快几百毫秒。

不过需要注意的是,TLS仍然以明文形式送出目的地。

结果显示对于非缓存 DNS 请求 DoH 对性能的影响甚微,绝大多数请求只慢了 6
毫秒,这是数据安全的可接受代价。实验已经结束,Nightly
版用户仍然可以手动启用。 返回搜狐,查看更多

图片 2

Firefox允许禁用DoH并恢复到系统DNS。先看在Firefox上如何启用DoH:

责任编辑:

另外,这个测试除了解性能方面的影响,还考虑了连接错误率,在软故障(Soft-fail)模式下使用
DOH 云端服务的用户,和传统 DNS
用户相比,错误连接率并没有明显差异。软故障模式主要使用
DOH,当域名无法正确解析或是 DOH 提供的地址连接失败时,便退回使用传统
DNS。

Click on menu > Options > General > Network Settings
>“Enable DNS Over HTTPS”

Mozilla 提到,他们正努力于创造一个可信任的 DOH
供应商生态,以满足较高标准的数据处理需求,后续会在一组供应商中或是依照地理位置划分
DNS 传输,这项试验可能会在不久之后进行。

检查Firefox是否使用Cloudflare DNS:

(文/开源中国)    

启用DoH后,访问

如果“Connected to1.1.1.1”和“DNS on
HTTPS”的状态都是“Yes”,则Firefox正在使用Cloudflare DNS

Mozilla的一篇博文提到,在美国虽然DoH是安装火狐后的默认配置,但一些配置也可以禁用它:

如果使用父母控制,则不会启用DoH

企业配置也使DoH禁用,除非“企业配置显式启用”