在Firefox上测试DoH

最近听一个播课节目提到了Cloudflare和1.1.1.1,对最新的DNS技术有点好奇。虽然我也听过不少技术新闻了,而且最近也对Web隐私感兴趣就折腾了一下。

对Cloudflare印象不错,之前还看到一个新闻是说他们用熔岩灯作为服务器的随机数生成器(熔岩灯就是一个蜡块在水浮动里,底部加热,蜡块预热浮起,遇冷下沉,周而复始)。不过有部美剧演绎了一个公司的熔岩灯随机数系统遭黑客破解云云,后来Cloudflare发博客做了澄清

跑题了,APNIC苦与找不到合适的接盘侠接受1.1.1.1这个自带巨量垃圾流量的烫手山芋,Cloudflare搞公共DNS也苦与找不到朗朗上口的IP地址。两家一拍即合,你提供IP,我提供服务分析垃圾流量顺便把DNS给做了。于是https://1.1.1.1在今年愚人节横空出世。

Cloudflare的1.1.1.1除了支持DoH、DoT,Cloudflare还推出了各种搞笑的DNS查询方式,包括通过短信、邮件、Twitter查DNS等等 🙂

Cloudflare最大的不同是,它一开始的口号是提倡互联网的隐私(google躺枪),而且也是这么做的。为了隐私,Cloudflare不存不必要的信息,改进了很多DNS技术细节确保最少的信息泄露,可以去看他们的官方博客有很多详细的介绍。估计Firefox也是看中这点才与Cloudflare合作推出了内置的DoH功能,从Firefox 62开始支持。只要在about:config中设置network.trr.mode为2就开启了。内置默认TRR是<https://mozilla.cloudflare-dns.com/dns-query >。这里有一篇DoH的漫画介绍,这里有一篇firefox 的 DoH参数,里面说道一个DoH的bonus是可以知道TTL了。

我试了下速度还可以,但用了DoH就不能用Ubuntu自己的dnsmasq缓存了(我的Ubuntu 14.04 dnsmasq缓存默认还没开启-_-!!!),其他的没怎么影响。不过现在的Web保护隐私提倡HTTPS,现在解决了DNS的问题,剩下好像只有HTTPS的SNI什么时候解决?

发表评论

电子邮件地址不会被公开。 必填项已用*标注