情报来源:
https://www.ithome.com.tw/news/125610
与传统DNS相比,DOH云端服务效能影响很小,大多数情况只慢毫秒,
连接错误率也没有明显差异,但是却更加安全,使用者隐私受到更好的保护。
Mozilla:云端DOH比传统DNS更安全,效能也没有明显差异
文/李建兴 | 2018-08-31发表
___________________________________
Mozilla在今年6月时,在Firefox Nightly版本展开了DOH(DNS Over HTTPS)与传统DNS
的比较实验,探讨后者是否能被前者取代,结果显示虽然DOH服务平均比传统DNS慢6毫秒
,但是不止服务更安全而且在极端情况,甚至能比传统DNS回应还快几百毫秒。
现在浏览器用户仰赖不够安全的传统DNS协定连结目标网站,可能面临被追踪(Tracking
)或是欺骗(Spoofing)等风险。Mozilla引用了2018年Usenix安全研讨会的论文,研究
显示DNS服务严重的受到干扰,而且遭受各方积极进行资料收集的隐私威胁。Firefox发展
出了DOH技术,让浏览器从一个或多个可信服务中获取DNS讯息,以提供高安全与高隐私的
DNS服务。
由于以可信的DOH云端服务取代传统DNS是一个剧烈的改变,在选择DOH服务器时需要考虑
许多要素,因此Mozilla对此展开了实验,主要想要了解两个问题,第一个,使用云端DNS
服务是否能取代传统DNS?第二个,使用云端DNS服务是否会出现额外连接错误?在7月的
时候有约2万5千名Firefox Nightly 63使用者,参与Cloudflare与Mozilla的实验,实验
收集到了超过十亿笔的DOH交易资料,目前已经结束实验。
结果显示,与传统DNS相比,和云端服务供应商合作使用HTTPS,在无快取DNS查询上,效
能影响很小,大多数的查询只有慢约6毫秒,但在权衡安全性和保护隐私资料的角度,这
是可以被接受的成本。而且与基于DOH的新系统相比,最慢的DNS交易表现比起传统DNS好
上许多,部份情况甚至达好几百毫秒。
另外,这个实验除了解效能影响,还考虑了连接错误率,在软故障(Soft-fail)模式下
使用DOH云端服务的用户,和传统DNS用户比起,错误连接率并没有明显差异。软故障模式
主要使用DOH,当域名无法正确解析或是DOH提供的地址连接失败时,便退回使用传统DNS
。
Mozilla提到,他们正努力于创造一个可信DOH供应商生态系,以满足较高标准的资料处理
需求,后续会在一组供应商中或是依照地理位置切分DNS交易,在不久之后可能会进行这
项试验。