Mozilla在今年6月時,在Firefox Nightly版本展開了DOH(DNS Over HTTPS)與傳統DNS的比較實驗,探討後者是否能被前者取代,結果顯示雖然DOH服務平均比傳統DNS慢6毫秒,但是不止服務更安全而且在極端情況,甚至能比傳統DNS回應還快幾百毫秒。

現在瀏覽器用戶仰賴不夠安全的傳統DNS協定連結目標網站,可能面臨被追蹤(Tracking)或是欺騙(Spoofing)等風險。Mozilla引用了2018年Usenix安全研討會的論文,研究顯示DNS服務嚴重的受到干擾,而且遭受各方積極進行資料收集的隱私威脅。Firefox發展出了DOH技術,讓瀏覽器從一個或多個可信服務中獲取DNS訊息,以提供高安全與高隱私的DNS服務。

由於以可信的DOH雲端服務取代傳統DNS是一個劇烈的改變,在選擇DOH伺服器時需要考慮許多要素,因此Mozilla對此展開了實驗,主要想要了解兩個問題,第一個,使用雲端DNS服務是否能取代傳統DNS?第二個,使用雲端DNS服務是否會出現額外連接錯誤?在7月的時候有約2萬5千名Firefox Nightly 63使用者,參與Cloudflare與Mozilla的實驗,實驗收集到了超過十億筆的DOH交易資料,目前已經結束實驗。

結果顯示,與傳統DNS相比,和雲端服務供應商合作使用HTTPS,在無快取DNS查詢上,效能影響很小,大多數的查詢只有慢約6毫秒,但在權衡安全性和保護隱私資料的角度,這是可以被接受的成本。而且與基於DOH的新系統相比,最慢的DNS交易表現比起傳統DNS好上許多,部份情況甚至達好幾百毫秒。

另外,這個實驗除了解效能影響,還考慮了連接錯誤率,在軟故障(Soft-fail)模式下使用DOH雲端服務的用戶,和傳統DNS用戶比起,錯誤連接率並沒有明顯差異。軟故障模式主要使用DOH,當域名無法正確解析或是DOH提供的地址連接失敗時,便退回使用傳統DNS。

Mozilla提到,他們正努力於創造一個可信DOH供應商生態系,以滿足較高標準的資料處理需求,後續會在一組供應商中或是依照地理位置切分DNS交易,在不久之後可能會進行這項試驗。


Advertisement

更多 iThome相關內容