問:DNS污染一直是中國聽眾最頭痛的問題,因為DNS污染仍然是翻牆上的一大挑戰。而現時Firefox同Chrome兩大開放源碼瀏覽器,都開始針對DNS污染問題,採取適當行動,能否介紹一下。
李建軍:之前都介紹過DNS over HTTPS,簡稱DoH,將DNS通訊加密,阻止DNS污染發生,Firefox已經開始盡量使用DNS over HTTPS,而Chrome會由下月推出新版本開始,測試DoH技術運作。現時只剩下Safari,未展開DoH技術的研究,相信這與Mac OS未展開其工作有關。相信在不久將來,DoH會慢慢普及,並且減少聽眾受到DNS污染的影響。
問:雖然Firefox和Chrome都有用DoH,但兩款瀏覽器推行DoH的策略就完全不同,能否介紹兩者策略不同,以及對聽眾的影響?
李建軍:Firefox並非商業機構,Mozilla本身是一個基金會,所以他們比較著重用戶個人私隱,多於與其他軟件的配合,所以Firefox是強制用戶使用DoH,並且使用Cloudflare的DNS,因為Cloudflare是Firefox的主要合作夥伴和支持者。
Chrome始終是谷歌(Google)名下的產品,加上同時要顧及微軟Edge的用家,所以比較顧及與家長審查軟件,以及企業環境的兼容問題。如果企業環境或家長審查軟件不支援DoH,Chrome都會關閉DoH功能。如果你想一開始就使用DoH功能,就選擇Firefox,但如果你身處的環境,例如辦公室,那你用Chrome會比較少問題。
另一方面,Chrome的DoH不單會使用Google Public DNS的DoH功能,亦同時支援其他DoH供應商,如果想同時使用不同供應商,可以考慮Chrome。
問:DoH 除了防止DNS污染外,亦阻止互聯網服務供應商和政府藉DNS紀錄,知道民眾網上行蹤。在西方,DoH視為一個重要保護私隱,阻止政府和私人企業監察網絡運作的工具,亦因此谷歌、Cloudflare以及Mozilla大力推廣這個技術,並希望早日普及。但中國當局會否千方百計,令DoH無法在中國的網絡上運作?
李建軍:這個可能性是存在。因為現時DNS查詢是明文,所以中國當局多少掌握到,有甚麼網絡數據傳輸用作翻牆用,但如果日後翻牆軟件再配合DoH,中國當局可能對有多少人翻牆,或那些主機是翻牆用一無所知,因為DoH技術遲早會普及到作業系統層面,甚至有家用路由器支援DoH都不足為奇。因此,中國當局有可能要求各大電訊公司,對DoH的流量作出阻截,甚至禁止民眾用DoH技術的瀏覽器。當然,如果中國當局真的這樣做的話,很可能會嚴重影響聽眾在瀏覽器上的選擇權,因為瀏覽器支援DoH,幾乎是大勢所趨。中國當局如何禁止電訊公司支援DoH,可能逼中國聽眾使用舊版的瀏覽器,或由中國廠商開發的一些古靈精怪的瀏覽器。因此,學習翻牆仍然必要,因為中國愈來愈荒謬的各類限制,最終會影響民眾使用互聯網的便利度。