Els enginyers de Cloudflare, Apple i la xarxa de distribució Fastly han creat el protocol ODoH (Oblivious DoH), el qual és un canvi important al sistema de noms de domini actual que tradueix noms de domini fàcils dusar en adreces IP que els ordinadors necessiten per trobar altres ordinadors.
Les empreses estan treballant amb el Grup de treball denginyeria dInternet (IETF, una organització que desenvolupa i promou els estàndards dInternet) amb lesperança que es converteixi en un estàndard mundial.
Sobre ODoH
Oblivious DoH es basa en una millora de DNS separada anomenada DNS-over-HTTPS (abreviatura de DoH), que encara es troba a les primeres etapes d'adopció.
En primer lloc, és important posar els elements en el seu context DNS és una base de dades que connecta un nom descriptiu, com www.domain.com, a una sèrie de números computats, anomenats adreça IP.
En fer una «recerca» en aquesta base de dades, el navegador web pot trobar llocs web en nom seu. A causa del disseny inicial de DNS fa dècades, els navegadors que feien cerques de DNS per a llocs web (fins i tot https://) havien de fer aquestes cerques sense xifrat.
Com que no hi ha xifrat, altres dispositius en el camí també poden recopilar (o fins i tot bloquejar o modificar) aquestes dades. Les cerques de DNS s'envien a servidors que poden espiar l'historial de navegació del vostre lloc web sense notificar-vos ni publicar una política sobre què fer amb aquesta informació.
Quan es va crear Internet, es coneixia aquest tipus d'amenaça a la privadesa i seguretat de les persones, però encara no s'explotava. Avui dia, sabem que el DNS no xifrat no només és vulnerable a l'espionatge, sinó que també és explotat, i els actors de la indústria han acudit al rescat perquè Internet pugui passar a alternatives més segures.
Per fer això, els navegadors han optat per fer cerques de DNS a través d'una connexió HTTPS xifrada. Això ocultarà el vostre historial de navegació als atacants a la xarxa, evitarà la recopilació de dades per part de tercers a la xarxa que connecta l'ordinador als llocs web que visiteu.
Així va néixer el protocol DNS-over-HTTPS que ofereix la possibilitat que els navegadors web ocultin les consultes i respostes de DNS al trànsit HTTPS d'aspecte normal per fer invisible el trànsit de DNS d'un usuari. Alhora, compromet la capacitat dels observadors de xarxes de tercers (com els ISP) per detectar i filtrar el trànsit dels seus clients.
Com funciona Oblivious?
ODoH és un protocol emergent en desenvolupament a l'IETF, funciona afegint una capa de xifrat de clau pública, així com un proxy de xarxa entre clients i servidors DoH, com ara 1.1.1.1.
Segons Cloudflare, la combinació d'aquests dos elements addicionals assegura que només l'usuari tingui accés tant als missatges DNS com a la seva adreça IP alhora.
L'objectiu desxifra les sol·licituds xifrades pel client, a través d'un servidor intermediari. Així mateix, l'objectiu xifra les respostes i les envia de tornada al proxy. L'estàndard diu que l'objectiu pot ser resolutor o no.
El proxy fa el que se suposa que ha de fer un proxy, ja que transfereix missatges entre el client i lobjectiu.
El client es comporta com ho fa a DNS i DoH, però es diferencia per xifrar les consultes per a lobjectiu i desxifrar les respostes de lobjectiu. Qualsevol client que trieu fer-ho pot especificar un proxy i un objectiu de la seva elecció.
Junts, el xifratge i el proxy agregats brinden les garanties següents:
- L'objectiu només veu la sol·licitud de servidor intermediari i l'adreça IP.
- El proxy no té visibilitat als missatges DNS, no té la capacitat d'identificar, llegir o modificar la sol·licitud enviada pel client o la resposta retornada per l'objectiu.
- Només lobjectiu previst pot llegir el contingut de la sol·licitud i produir una resposta.
Aquestes tres garanties milloren la privadesa del client mentre mantenen la seguretat i integritat de les consultes de DNS.
font: https://blog.cloudflare.com