Mozilla：雲端DOH比傳統DNS更安全，效能也沒有明顯差異

Mozilla在今年6月時，在Firefox Nightly版本展開了DOH（DNS Over HTTPS）與傳統DNS的比較實驗，探討後者是否能被前者取代，結果顯示雖然DOH服務平均比傳統DNS慢6毫秒，但是不止服務更安全而且在極端情況，甚至能比傳統DNS回應還快幾百毫秒。

現在瀏覽器用戶仰賴不夠安全的傳統DNS協定連結目標網站，可能面臨被追蹤（Tracking）或是欺騙（Spoofing）等風險。Mozilla引用了2018年Usenix安全研討會的論文，研究顯示DNS服務嚴重的受到干擾，而且遭受各方積極進行資料收集的隱私威脅。Firefox發展出了DOH技術，讓瀏覽器從一個或多個可信服務中獲取DNS訊息，以提供高安全與高隱私的DNS服務。

由於以可信的DOH雲端服務取代傳統DNS是一個劇烈的改變，在選擇DOH伺服器時需要考慮許多要素，因此Mozilla對此展開了實驗，主要想要了解兩個問題，第一個，使用雲端DNS服務是否能取代傳統DNS？第二個，使用雲端DNS服務是否會出現額外連接錯誤？在7月的時候有約2萬5千名Firefox Nightly 63使用者，參與Cloudflare與Mozilla的實驗，實驗收集到了超過十億筆的DOH交易資料，目前已經結束實驗。

結果顯示，與傳統DNS相比，和雲端服務供應商合作使用HTTPS，在無快取DNS查詢上，效能影響很小，大多數的查詢只有慢約6毫秒，但在權衡安全性和保護隱私資料的角度，這是可以被接受的成本。而且與基於DOH的新系統相比，最慢的DNS交易表現比起傳統DNS好上許多，部份情況甚至達好幾百毫秒。

另外，這個實驗除了解效能影響，還考慮了連接錯誤率，在軟故障（Soft-fail）模式下使用DOH雲端服務的用戶，和傳統DNS用戶比起，錯誤連接率並沒有明顯差異。軟故障模式主要使用DOH，當域名無法正確解析或是DOH提供的地址連接失敗時，便退回使用傳統DNS。

Mozilla提到，他們正努力於創造一個可信DOH供應商生態系，以滿足較高標準的資料處理需求，後續會在一組供應商中或是依照地理位置切分DNS交易，在不久之後可能會進行這項試驗。