Firefox 62将使用DNS over HTTPS技术，终结DNS查询的明码风险

Mozilla预计将在9月初Firefox 62中使用可信递回解析器（Trusted Recursive Resolver，TRR）与DNS over HTTPS（DOH）技术，以HTTPS传送DNS封包，弥补现行DNS系统使用UDP以及TCP协定明码传输请求的安全性疑虑，想尝鲜的使用者可以在Firefox Nightly版本中手动开启。

传统的DNS让使用者曝露在风险中，Mozilla解释，解析器（Resolver）会告诉每一台DNS服务器使用者查询的域名，而这些资讯可能包含使用者完整的IP位置，而且即使只有部分IP资讯，有心人士也可以结合其他资讯，辨识出使用者的身份，另外，查询域名的过程，让每一台服务器都知道使用者要找查的网站，也就是说，路径上的任何人都可以看到使用者请求。这造成两个主要的风险，使用者可能被追踪（Tracking）或是欺骗（Spoofing）。

即使使用者不需要担心恶意的DNS服务器，但是一般的解析器或是DNS服务器，也可能进行着超出使用者预料的行为。除了上面提到域名查询的资讯可能透漏使用者身份外，查询路径上的路由器都能建立使用者的档案，并收集这些查询纪录。Mozilla提到，特别是常会到公共场所使用网络的使用者，很难确定不同的解析器使用的隐私政策，可能在不知情的状况下，个人资料遭到贩售。

如果运气不好，使用者还可能会碰到具欺骗行为的解析器，最糟的情况可能是使用者查询了某网站网域的IP位置，恶意解析器提供恶意的IP，导致使用者受骇。好一点的情况可能是，使用者在A实体店面购物，想要上网查询竞争商家B同样商品价格，使用者刚好使用A店家的无线网络，而该网络解析器可能劫持使用者对B店家的流量，欺骗使用者该网络无法存取。

为了解决以上这些传统DNS系统带来的风险，Mozilla在Firefox中采用TRR以及DOH技术。TRR可以避免不可信的解析器，而DOH则可以防止查询路径上的窃听与窜改，另外，Firefox还最小化传输的资料，在这去匿名化环境中保护使用者隐私。

由于一般的ISP可能不支援这些技术，因此目前Mozilla找来了合作伙伴Cloudflare，建立支援DOH技术的TRR。有了可信的解析器，使用者的查询资料就不会有被转售或是泄漏的危机。Mozilla提到，Cloudflare对TRR用户的隐私政策，承诺在24小时后丢弃所有可辨识个人身份的资讯，也不会将这些资料转送给第三方，并且定期审查确保每一个环节符合预期。当然使用者也不一定要使用Cloudflare，可以选用自己喜欢的TRR。除了不可信的解析器风险外，查询路径上的路由器也是安全威胁之一，Mozilla表示，使用DOH技术，将能让DNS请求以及回应受到加密保护，让旁人无法轻易窃取。

另外，Mozilla提到他们正与Cloudflare合作，尽可能降低传输的查询资料量，在去匿名化的环境保护用户隐私。一般情况解析器会将整个域名传送给每一个服务器，包括根DNS、顶级域名服务器还有二级域名服务器等，但现在Cloudflare使用QNAME最小化技术，只传送使用者当前沟通的DNS相关部分。

还有，解析器通常会请求使用者IP位置的前24位元资讯，而这有助于DNS知道使用者的位置，藉以选择距离最近的CDN，但Cloudflare则会传送给DNS在使用者附近的IP位置，除了一样可以提供地理资讯外，还能隐藏使用者身份。

不过，在查询了网域IP后，使用者要连接该网页服务器时，会发送服务器名称指示，这项请求是未加密的，因此ISP仍然可以知道使用者欲浏览的网站，但只要使用者与网站建立连线后，则一切都是加密进行了。预计在9月上线的Firefox 62将会正式提供DOH技术，但使用者现在就能使用Firefox Nightly版本尝鲜。