Cloudflare inženjeri, Apple i mreža za brzo distribuciju su kreirali ODoH protokol (Nesvjestan DoH), što je velika promjena u sistemu imena domena trenutni koji prevodi korisnička imena domena u IP adrese koje računari trebaju za pronalaženje drugih računara.
Kompanije rade sa Radnom grupom za internet inženjering (IETF, organizacija koja razvija i promovira Internet standarde) u nadi da će postati globalni standard.
O ODoH-u
Nevidljivi DoH oslanja se na zasebno DNS poboljšanje nazvano DNS-over-HTTPS (skraćeno od DoH), koji je još uvijek u ranoj fazi usvajanja.
Prvo, važno je elemente staviti u njihov kontekst.DNS je baza podataka koja povezuje opisno ime, kao što je www.domain.com, sa nizom računarskih brojeva, koji se nazivaju IP adresa.
Prilikom "pretraživanja" u ovoj bazi podataka, web pretraživač može pronaći web lokacije u vaše ime. Zbog početnog dizajna DNS-a prije nekoliko decenija, preglednici koji su vršili DNS pretraživanja za web lokacije (uključujući https: //) morali su izvršiti ove pretrage bez šifriranja.
Jer nema šifriranja, ostali uređaji na putu oni takođe mogu sakupljati (ili čak blokirati ili izmijeniti) ovih datuma. DNS pretraživanja šalju se poslužiteljima koji mogu špijunirati historiju pregledavanja vaše web stranice, a da vas ne obavijeste ili objavljuju pravila o tome što učiniti s tim informacijama.
Kada je stvoren Internet, ova vrsta prijetnje privatnosti i sigurnosti ljudi bila je poznata, ali još uvijek nije iskorištena. Danas to znamo nešifrirani DNS nije samo ranjiv na špijuniranje, već se i koristi, a igrači iz industrije priskočili su u pomoć kako bi se Internet mogao pomaknuti na sigurnije alternative.
Da bi to učinili, preglednici su odabrali izvođenje DNS pretraživanja preko šifrirane HTTPS veze. Ovo će sakriti vašu historiju pregledavanja od napadača na mreži, spriječiti prikupljanje podataka od strane trećih strana na mreži koja povezuje vaš računar s web lokacijama koje posjećujete.
Tako je rođen DNS-over-HTTPS protokol koji pruža mogućnost web pretraživačima da sakriju DNS upite i odgovore u HTTPS prometu normalnog izgleda kako bi DNS promet korisnika postao nevidljiv. U isto vrijeme, to ugrožava sposobnost promatrača mreže nezavisnih proizvođača (poput ISP-a) da otkriju i filtriraju promet svojih kupaca.
Kako Oblivious djeluje?
ODoH je protokol u nastajanju koji je u fazi izrade na IETF-u i djeluje dodavanje sloja šifriranja javnog ključa kao i proxyja mreža između DoH klijenata i servera, kao što je 1.1.1.1.
Prema Cloudflareu, kombinacija ova dva dodatna elementa osigurava da samo korisnik istovremeno ima pristup i DNS porukama i svojoj IP adresi.
Cilj šifrira zahtjeve šifrirane od strane klijenta, preko punomoćnika. Takođe, cilj šifrira odgovore i šalje ih natrag proxyju. Standard kaže da cilj može i ne mora biti razrješivač.
Proxy radi ono što bi proxy trebao raditi, da koji prenosi poruke između klijenta i cilja.
Klijent se ponaša kao u DNS-u i DoH-u, ali se razlikuje šifriranjem upita za cilj i dešifriranjem odgovora s cilja. Svaki klijent koji to odluči može odrediti proxy i cilj po svom izboru.
Zajedno, dodana enkripcija i proxy pružaju sljedeće zaštitne mjere:
- Cilj vidi samo zahtjev za proxy i IP adresu.
- Proxy nema vidljivost u DNS porukama, nema mogućnost prepoznavanja, čitanja ili modificiranja zahtjeva koji je poslao klijent ili odgovora koji je vratio cilj.
- Samo predviđeni cilj može pročitati sadržaj zahtjeva i dati odgovor.
Ova tri jamstva poboljšavaju privatnost kupaca, a istovremeno održavaju sigurnost i integritet DNS upita.
Izvor: https://blog.cloudflare.com