Mozilla ve Cloudflare, HTTPS üzerinden DNS hizmeti sağlamak için işbirliği yaptıktan sonra, Facebook, ağ trafiğinin son mil DNS'si için şifreleme hizmeti de sağlayacak.Şimdi Facebook, TLS denemeleri üzerinden DNS yürütmek için Cloudflare ile işbirliği yapıyor.
Facebook ve Cloudflare DNS, güvenli olmayan kanallar üzerinden DNS tarafları arasında doğrulanmış ve gizli iletişim sağlamak için yaygın olarak kullanılan bir protokol olan Taşıma Katmanı Güvenliği'ni (TLS) kullanan deneysel bir projede işbirliği yapar. TLS üzerinden DNS çözümü, tam olarak şifrelenmemiş kalan web trafiği için şifreleme ve doğrulama hizmetleri sağlayabilir.
Bu deneysel proje sayesinde, Facebook kullanıcıları daha yakın bir güvenlik deneyimi elde etmek için Cloudflare DNS'yi kullanabilir, yalnızca Facebook'u HTTPS ile bağlamakla kalmaz, aynı zamanda DNS düzeyinde de cihazların Cloudflare DNS'ye ve Cloudflare DNS'den Facebook alan adı sunucularına bağlanmasını engeller. Trafik.
Geçtiğimiz birkaç aydan beri Facebook, Cloudflare 1.1.1.1 özyinelemeli çözümleyicisi ile Facebook'un kendi yetkili alan sunucusu arasında TLS üzerinden DNS hizmetini etkinleştirmeye başladı. Amaç, büyük ölçekli büroların uygulanabilirliğini anlamaktır. DNS yanıt gecikmesini almanın ekstra maliyetini elde etmek için çeşitli göstergeler toplayın. Facebook, bu deneyin TLS üzerinden DNS harici olarak yürütüldüğünde ne olduğunu anlamalarına yardımcı olabileceğini ve DNS'nin UDP'den şifrelemeye dönüştürülmesindeki olası sorunları keşfetmek için üretim iş yükünde bulunabileceğini söyledi.
Facebook, şimdiye kadarki denemenin Cloudflare DNS ile Facebook'un alan adı sunucuları arasındaki üretim yükü trafiği için TLS üzerinden DNS kullanmanın uygun bir çözüm olduğunu kanıtladığını belirtti. İlk bağlantıdaki ilk istek fazladan gecikme ekleyecek olsa da, TLS bağlantısını yeniden kullanarak birden fazla istek daha sonra yürütülebilir, böylece ilk ek maliyet Cloudflare DNS ve yetkili Facebook etki alanı sunucusu DNS arasında paylaşılacaktır. Gecikmeli p99, UDP kıyaslamasıyla karşılaştırılabilir.
Facebook, TLS'den UDP'ye geçişin gecikme etkisini denedi ve bu, Facebook'un iki protokolün istek gecikmesini karşılaştırmasına izin verdi. Aşağıdaki şekilde gösterilen gecikme yüzdesi, TCP / TLS iletişim kutusu oluşturma maliyetini hesaplamaz. 17: 30'da, bağlantı TLS'den UDP'ye değiştirilir; bu, bağlantı oluşturulduktan sonra ister TLS ister UDP olsun, yukarı bakın Ve yanıt gecikmesi aynıdır.
Aşağıdaki şekil, bağlantının oluşturulması için gereken zamanı alır ve genel gecikmeyi değerlendirir. Ayrıca 17: 30'da protokol TLS'den UDP'ye değiştirildi ve sonuçlar TLS veya UDP olup olmadığına bakılmaksızın genel gecikmede hiçbir fark olmadığını gösterdi. Facebook, bunun TLS konuşma kurtarma teknolojisinin aynı TLS bağlantısı üzerinden kullanıldığı ve yürütüldüğü için olduğunu açıkladı. İlk bağlantı kurulumunun maliyetini paylaşmak için birden fazla istek.
Facebook, TLS diyalog kurtarmayı uygulamış olmalarına rağmen, mevcut konfigürasyonun yeni protokolün getirdiği optimizasyonları henüz tam olarak kullanmadığını, daha sonra TLS 1.3 ve TCP Fast Open'ın en son sürümünün kullanılması gecikmeyi daha da azaltacağını belirtti.