[情報] Mozilla:雲端DOH比傳統DNS更安全

作者: vincentpp (文森)   2018-08-31 16:28:29
情報來源:
https://www.ithome.com.tw/news/125610
與傳統DNS相比,DOH雲端服務效能影響很小,大多數情況只慢毫秒,
連接錯誤率也沒有明顯差異,但是卻更加安全,使用者隱私受到更好的保護。
Mozilla:雲端DOH比傳統DNS更安全,效能也沒有明顯差異
文/李建興 | 2018-08-31發表
___________________________________
Mozilla在今年6月時,在Firefox Nightly版本展開了DOH(DNS Over HTTPS)與傳統DNS
的比較實驗,探討後者是否能被前者取代,結果顯示雖然DOH服務平均比傳統DNS慢6毫秒
,但是不止服務更安全而且在極端情況,甚至能比傳統DNS回應還快幾百毫秒。
現在瀏覽器用戶仰賴不夠安全的傳統DNS協定連結目標網站,可能面臨被追蹤(Tracking
)或是欺騙(Spoofing)等風險。Mozilla引用了2018年Usenix安全研討會的論文,研究
顯示DNS服務嚴重的受到干擾,而且遭受各方積極進行資料收集的隱私威脅。Firefox發展
出了DOH技術,讓瀏覽器從一個或多個可信服務中獲取DNS訊息,以提供高安全與高隱私的
DNS服務。
由於以可信的DOH雲端服務取代傳統DNS是一個劇烈的改變,在選擇DOH伺服器時需要考慮
許多要素,因此Mozilla對此展開了實驗,主要想要了解兩個問題,第一個,使用雲端DNS
服務是否能取代傳統DNS?第二個,使用雲端DNS服務是否會出現額外連接錯誤?在7月的
時候有約2萬5千名Firefox Nightly 63使用者,參與Cloudflare與Mozilla的實驗,實驗
收集到了超過十億筆的DOH交易資料,目前已經結束實驗。
結果顯示,與傳統DNS相比,和雲端服務供應商合作使用HTTPS,在無快取DNS查詢上,效
能影響很小,大多數的查詢只有慢約6毫秒,但在權衡安全性和保護隱私資料的角度,這
是可以被接受的成本。而且與基於DOH的新系統相比,最慢的DNS交易表現比起傳統DNS好
上許多,部份情況甚至達好幾百毫秒。
另外,這個實驗除了解效能影響,還考慮了連接錯誤率,在軟故障(Soft-fail)模式下
使用DOH雲端服務的用戶,和傳統DNS用戶比起,錯誤連接率並沒有明顯差異。軟故障模式
主要使用DOH,當域名無法正確解析或是DOH提供的地址連接失敗時,便退回使用傳統DNS

Mozilla提到,他們正努力於創造一個可信DOH供應商生態系,以滿足較高標準的資料處理
需求,後續會在一組供應商中或是依照地理位置切分DNS交易,在不久之後可能會進行這
項試驗。
作者: tomsawyer (安安)   2018-08-31 18:08:00
變成dns over http tunnel?
作者: lianpig5566 (家庭教師殺手里包恩)   2018-08-31 22:44:00
為啥不要叫Dns Over SSL? 簡稱DOS
作者: tomsawyer (安安)   2018-08-31 23:32:00
Distributed dns over ssl tunnel簡稱ddos lul
作者: tsai82118 (PeteR)   2018-09-01 01:21:00
DNS-Over-TLS跟DNS-over-HTTPS是不同技術還有競品的DNSCrypt

Links booklink

Contact Us: admin [ a t ] ucptt.com