此前Mozilla宣布本月底推出DNS over HTTPS(DoH)，Firefox中將默認(rèn)使用DoH而不再是傳統(tǒng)DNS。但是OpenBSD近日決定在其分發(fā)系統(tǒng)的Firefox上默認(rèn)禁用DoH。

相比傳統(tǒng)DNS，與云端服務(wù)供應(yīng)商合作通過(guò)HTTPS發(fā)出DNS請(qǐng)求，在無(wú)緩存的DNS查詢上性能影響很小，大多數(shù)的查詢只慢了約6毫秒，但從權(quán)衡安全性和保護(hù)隱私數(shù)據(jù)的角度出發(fā)，Mozilla認(rèn)為這是可以被接受的成本。而且在某些情況下，甚至能比傳統(tǒng)DNS還快幾百毫秒。

這對(duì)于普通用戶來(lái)說(shuō)可能是不錯(cuò)的改進(jìn)，但是所有用戶解析流量都需要經(jīng)過(guò)第三方云廠商，這確實(shí)也可能存在隱私與數(shù)據(jù)安全問(wèn)題。OpenBSD項(xiàng)目認(rèn)為這并不妥，于是更改了Firefox默認(rèn)啟用DoH的做法：

默認(rèn)情況下禁用DoH。雖然加密DNS可能是一件好事，但默認(rèn)情況下，將所有DNS流量發(fā)送到Cloudflare并不是一個(gè)好主意。應(yīng)用應(yīng)遵循OS配置的設(shè)置。如果需要，仍可以覆蓋DoH設(shè)置。

此外，目前OpenBSD還沒(méi)有軟件包支持運(yùn)行自己的DoH服務(wù)器，OpenBSD 6.6有望在軟件包中包含支持DoT(DNS over TLS)與DoH的PowerDNS dnsdist 1.4.0。目前運(yùn)行自己的DoH服務(wù)器，需要針對(duì)Firefox做一些配置修改，詳情查看：

https://wiki.mozilla.org/Trusted_Recursive_Resolver