Mozilla在今年6月时,在Firefox Nightly版本展开了DOH(DNS Over HTTPS)与传统DNS的比较实验,探讨后者是否能被前者取代,结果显示虽然DOH服务平均比传统DNS慢6毫秒,但是不止服务更安全而且在极端情况,甚至能比传统DNS回应还快几百毫秒。
现在浏览器用户依赖不够安全的传统DNS协议连接目标网站,可能面临被关注(Tracking)或是欺骗(Spoofing)等风险。 Mozilla引用了2018年Usenix安全研讨会的论文,研究显示DNS服务严重的受到干扰,而且遭受各方积极进行数据收集的隐私威胁。 Firefox发展出了DOH技术,让浏览器从一个或多个可信服务中获取DNS消息,以提供高安全与高隐私的DNS服务。
由于以可信的DOH云计算服务取代传统DNS是一个剧烈的改变,在选择DOH服务器时需要考虑许多要素,因此Mozilla对此展开了实验,主要想要了解两个问题,第一个,使用云计算DNS服务是否能取代传统DNS?第二个,使用云计算DNS服务是否会出现额外连接错误?在7月的时候有约2万5千名Firefox Nightly 63用户,参与Cloudflare与Mozilla的实验,实验收集到了超过十亿笔的DOH交易数据,目前已经结束实验。
结果显示,与传统DNS相比,和云计算服务供应商合作使用HTTPS,在无缓存DNS查找上,性能影响很小,大多数的查找只有慢约6毫秒,但在权衡安全性和保护隐私数据的角度,这是可以被接受的成本。而且与基于DOH的新系统相比,最慢的DNS交易表现比起传统DNS好上许多,部分情况甚至达好几百毫秒。
另外,这个实验除了解性能影响,还考虑了连接错误率,在软故障(Soft-fail)模式下使用DOH云计算服务的用户,和传统DNS用户比起,错误连接率并没有明显差异。软故障模式主要使用DOH,当域名无法正确解析或是DOH提供的地址连接失败时,便退回使用传统DNS。
Mozilla提到,他们正努力于创造一个可信DOH供应商生态系统,以满足较高标准的数据处理需求,后续会在一组供应商中或是依照地理位置切分DNS交易,在不久之后可能会进行这项试验。