此前 Mozilla 宣布本月底推出 DNS over HTTPS(DoH),Firefox 中將默認使用 DoH 而不再是傳統 DNS。但是 OpenBSD 近日決定在其分發系統的 Firefox 上默認禁用 DoH。
相比傳統 DNS,與雲端服務供應商合作通過 HTTPS 發出 DNS 請求,在無緩存的 DNS 查詢上性能影響很小,大多數的查詢只慢了約 6 毫秒,但從權衡安全性和保護隱私數據的角度出發,Mozilla 認為這是可以被接受的成本。而且在某些情況下,甚至能比傳統 DNS 還快幾百毫秒。
這對於普通用戶來說可能是不錯的改進,但是所有用戶解析流量都需要經過第三方雲廠商,這確實也可能存在隱私與數據安全問題。OpenBSD 項目認為這並不妥,於是更改了 Firefox 默認啟用 DoH 的做法:
默認情況下禁用 DoH。雖然加密 DNS 可能是一件好事,但默認情況下,將所有 DNS 流量發送到 Cloudflare 並不是一個好主意。應用應遵循 OS 配置的設置。如果需要,仍可以覆蓋 DoH 設置。
此外,目前 OpenBSD 還沒有軟體包支持運行自己的 DoH 伺服器,OpenBSD 6.6 有望在軟體包中包含支持 DoT(DNS over TLS)與 DoH 的 PowerDNS dnsdist 1.4.0。目前運行自己的 DoH 伺服器,需要針對 Firefox 做一些配置修改,詳情查看:
[admin
]