Mozilla：云端DOH比传统DNS更安全效能也没有明显差异

Mozilla在今年6月时，在Firefox Nightly版本展开了DOH（DNS Over HTTPS）与传统DNS的比较实验，探讨后者是否能被前者取代，结果显示虽然DOH服务平均比传统DNS慢6毫秒，但是不止服务更安全而且在极端情况，甚至能比传统DNS回应还快几百毫秒。

现在浏览器用户仰赖不够安全的传统DNS协定连结目标网站，可能面临被追蹤（Tracking）或是欺骗（Spoofing）等风险。Mozilla引用了2018年Usenix安全研讨会的论文，研究显示DNS服务严重的受到干扰，而且遭受各方积极进行资料收集的隐私威胁。Firefox发展出了DOH技术，让浏览器从一个或多个可信服务中获取DNS讯息，以提供高安全与高隐私的DNS服务。

由于以可信的DOH云端服务取代传统DNS是一个剧烈的改变，在选择DOH伺服器时需要考虑许多要素，因此Mozilla对此展开了实验，主要想要了解两个问题，第一个，使用云端DNS服务是否能取代传统DNS？第二个，使用云端DNS服务是否会出现额外连接错误？在7月的时候有约2万5千名Firefox Nightly 63使用者，参与Cloudflare与Mozilla的实验，实验收集到了超过十亿笔的DOH交易资料，目前已经结束实验。

结果显示，与传统DNS相比，和云端服务供应商合作使用HTTPS，在无快取DNS查询上，效能影响很小，大多数的查询只有慢约6毫秒，但在权衡安全性和保护隐私资料的角度，这是可以被接受的成本。而且与基于DOH的新系统相比，最慢的DNS交易表现比起传统DNS好上许多，部份情况甚至达好几百毫秒。

另外，这个实验除了解效能影响，还考虑了连接错误率，在软故障（Soft-fail）模式下使用DOH云端服务的用户，和传统DNS用户比起，错误连接率并没有明显差异。软故障模式主要使用DOH，当域名无法正确解析或是DOH提供的地址连接失败时，便退回使用传统DNS。

Mozilla提到，他们正努力于创造一个可信DOH供应商生态系，以满足较高标準的资料处理需求，后续会在一组供应商中或是依照地理位置切分DNS交易，在不久之后可能会进行这项试验。