OpenBSD 上的 Firefox 默认禁用 DoH

此前 Mozilla 宣布本月底推出 DNS over HTTPS（DoH），Firefox 中将默认使用 DoH 而不再是传统 DNS。但是 OpenBSD 近日决定在其分发系统的 Firefox 上默认禁用 DoH。

相比传统 DNS，与云端服务供应商合作通过 HTTPS 发出 DNS 请求，在无缓存的 DNS 查询上性能影响很小，大多数的查询只慢了约 6 毫秒，但从权衡安全性和保护隐私数据的角度出发，Mozilla 认为这是可以被接受的成本。而且在某些情况下，甚至能比传统 DNS 还快几百毫秒。

这对于普通用户来说可能是不错的改进，但是所有用户解析流量都需要经过第三方云厂商，这确实也可能存在隐私与数据安全问题。OpenBSD 项目认为这并不妥，于是更改了 Firefox 默认启用 DoH 的做法：

默认情况下禁用 DoH。虽然加密 DNS 可能是一件好事，但默认情况下，将所有 DNS 流量发送到 Cloudflare 并不是一个好主意。应用应遵循 OS 配置的设置。如果需要，仍可以覆盖 DoH 设置。

此外，目前 OpenBSD 还没有软件包支持运行自己的 DoH 服务器，OpenBSD 6.6 有望在软件包中包含支持 DoT（DNS over TLS）与 DoH 的 PowerDNS dnsdist 1.4.0。目前运行自己的 DoH 服务器，需要针对 Firefox 做一些配置修改，详情查看：

https://wiki.mozilla.org/Trusted_Recursive_Resolver