脸书也开始试验加密DNS，测试结果显示加密不会增加整体延迟

在Mozilla与Cloudflare合作提供DNS over HTTPS服务后，脸书也要对网络流量的最后一哩路DNS，提供加密服务，现在脸书也与Cloudflare合作，进行DNS over TLS的试验。

脸书与Cloudflare DNS合作实验计划，该计划以传输层安全性（TLS）这个广泛使用的协定，在不安全的通道上提供DNS双方受验证与机密的通讯。DNS over TLS解决方案，能为剩余还未完全加密的网页流量，提供加密和验证服务。

透过这个实验计划，脸书使用者可以使用Cloudflare DNS，获得更近一步的安全体验，不只是以HTTPS连接脸书，更在DNS层级，保护装置连接到Cloudflare DNS，以及从Cloudflare DNS到脸书域名服务器的流量。

从过去几个月开始，脸书就开始在Cloudflare的1.1.1.1递回解析器以及脸书自己的权威域服务器之间，启用DNS over TLS服务，目的是为了要了解大规模部署的可行性，透过收集各项指标，取得接收DNS解答延迟的额外成本。脸书表示，这项实验能帮助他们了解，当DNS over TLS在外部执行时，所会发生的情况，而且在生产工作负载中实验，才能发现DNS从UDP转换至加密协定可能产生的问题。

脸书提到，该试验到目前为止，证明了将DNS over TLS用于Cloudflare DNS和脸书域名服务器之间的生产负载流量，是个可行的解决方案。虽然在第一次连接时的初始请求，会增加额外的延迟，但是之后能以重用TLS连接来执行多个请求，所以初始额外成本便会被分摊到Cloudflare DNS和脸书权威域服务器之间DNS延迟的p99，而这与UDP基准相当。

脸书实验了从TLS切换到UDP所产生的延迟影响，而这能让脸书比较两种协定的请求延迟。下图显示的延迟百分位数，没有计算TCP/TLS对话建立的成本，在17:30时，连结从TLS切换到UDP，即果说明了一旦连结建立了，无论是TLS或是UDP，查询和回应的延迟都相同。

而下图则是将建立连结的时间考虑进去，评估整体的延迟。同样在17:30时，协定从TLS切换到UDP，结果显示，无论是TLS还是UDP，对整体延迟都没有差异，脸书解释，这是因为使用TLS对话恢复技术，并且透过相同的TLS连结执行多项请求，以分摊初始连接设定的成本。

脸书提到，虽然他们实作了TLS对话恢复，但是当前配置尚未充份利用新协定带来的最佳化，在之后使用最新版本的TLS 1.3和TCP Fast Open，将能进一步缩短延迟。