Cloudflare-insinöörit, Apple ja nopeasti jakeluverkko ovat luoneet ODoH-protokollan (Oblivious DoH), mikä on merkittävä muutos verkkotunnusjärjestelmässä nykyinen, joka muuntaa käyttäjäystävälliset verkkotunnukset IP-osoitteiksi, joita tietokoneiden on löydettävä muiden tietokoneiden löytämiseksi.
Yritykset työskentelevät Internet-suunnittelutyöryhmän kanssa (IETF, organisaatio, joka kehittää ja edistää Internet-standardeja) siinä toivossa, että siitä tulee maailmanlaajuinen standardi.
Tietoja ODoH: sta
Unohtava DoH perustuu erilliseen DNS-parannukseen nimeltä DNS-over-HTTPS (lyhenne DoH: sta), joka on vielä alkuvaiheessa.
Ensinnäkin on tärkeää sijoittaa elementit niiden kontekstiin: DNS on tietokanta, joka yhdistää kuvaavan nimen, kuten www.domain.com, sarjaan tietokoneistettuja numeroita, joita kutsutaan IP-osoitteiksi.
Kun suoritat "haun" tässä tietokannassa, verkkoselain voi löytää verkkosivustoja puolestasi. Vuosikymmeniä sitten tehdyn DNS: n alkuperäisen suunnittelun vuoksi selaimet, jotka tekivät DNS-hakuja verkkosivustoille (mukaan lukien https: //) heidän oli suoritettava nämä haut ilman salausta.
Koska salausta ei ole, muut laitteet matkalla he voivat myös kerätä (tai jopa estää tai muokata) näinä päivinä. DNS-hakut lähetetään palvelimille, jotka voivat vakoilla verkkosivustosi selaushistoriaa ilmoittamatta siitä sinulle tai julkaisematta käytäntöä siitä, mitä tietoihin tehdään.
Kun Internet luotiin, tämäntyyppinen uhka ihmisten yksityisyydelle ja turvallisuudelle tiedettiin, mutta sitä ei vielä käytetty hyväksi. Tänään tiedämme sen salaamaton DNS on paitsi haavoittuvainen myös vakoilulle, sitä myös hyödynnetään, ja alan toimijat ovat tulleet auttamaan, jotta Internet voi siirtyä turvallisempiin vaihtoehtoihin.
Tätä varten selaimet ovat päättäneet suorittaa DNS-hakuja salatun HTTPS-yhteyden kautta. Tämä piilottaa selaushistorian verkon hyökkääjiltä, estää kolmansien osapuolten keräämän tietoja verkossa, joka yhdistää tietokoneesi käymiisi verkkosivustoihin.
Siten syntyi DNS-over-HTTPS -protokolla, joka tarjoaa verkkoselaimille mahdollisuuden piilottaa DNS-kyselyt ja vastaukset normaalin näköisellä HTTPS-liikenteellä, jotta käyttäjän DNS-liikenne olisi näkymätön. Samalla se vaarantaa kolmansien osapuolten verkkovalvojien (kuten Internet-palveluntarjoajien) kyvyn havaita ja suodattaa asiakasliikennettä.
Kuinka Oblivious toimii?
ODoH on IETF: ssä kehitteillä oleva uusi protokolla, se toimii lisäämällä julkisen avaimen salauksen taso sekä välityspalvelin verkko DoH-asiakkaiden ja palvelinten välillä, kuten 1.1.1.1.
Cloudflaren mukaan näiden kahden lisäelementin yhdistelmä varmistaa, että vain käyttäjällä on pääsy sekä DNS-viesteihin että omaan IP-osoitteeseensa samanaikaisesti.
Kohde purkaa asiakkaan salaamat pyynnöt, välityspalvelimen kautta. Myös tavoite salaa vastaukset ja lähettää ne takaisin välityspalvelimeen. Standardi sanoo, että kohde voi olla ratkaisija.
Välityspalvelin tekee sen, mitä välityspalvelimen on tarkoitus tehdä, ya joka siirtää viestejä asiakkaan ja kohteen välillä.
Asiakas käyttäytyy kuten DNS: ssä ja DoH: ssa, mutta eroaa itsestään salaamalla kohteen kyselyt ja salaamalla vastaukset kohteesta. Jokainen asiakas, joka päättää tehdä niin, voi määrittää valitsemansa välityspalvelimen ja kohteen.
Lisätty salaus ja välityspalvelin tarjoavat yhdessä seuraavat suojatoimet:
- Kohde näkee vain välityspalvelupyynnön ja IP-osoitteen.
- Välityspalvelimella ei ole näkyvyyttä DNS-viesteihin, sillä ei ole kykyä tunnistaa, lukea tai muokata asiakkaan lähettämää pyyntöä tai kohteen palauttamaa vastausta.
- Vain tarkoitettu kohde voi lukea pyynnön sisällön ja tuottaa vastauksen.
Nämä kolme takuuta parantavat asiakkaiden yksityisyyttä säilyttäen samalla DNS-kyselyjen turvallisuuden ja eheyden.
lähde: https://blog.cloudflare.com