Cloudflare inženjeri, Apple i brzo distribucijsku mrežu stvorili su ODoH protokol (Nesvjestan DoH), što je velika promjena u sustavu imena domena trenutni koji prevodi korisnička imena domena u IP adrese koje računala trebaju za pronalaženje drugih računala.
Tvrtke rade s radnom skupinom za internetski inženjering (IETF, organizacija koja razvija i promiče internetske standarde) u nadi da će postati globalni standard.
O ODoH-u
Nevidljivi DoH oslanja se na zasebno DNS poboljšanje nazvano DNS-over-HTTPS (skraćeno od DoH), koji je još uvijek u ranoj fazi usvajanja.
Prvo, važno je elemente staviti u njihov kontekst.DNS je baza podataka koja opisni naziv, poput www.domain.com, povezuje s nizom računarskih brojeva koji se nazivaju IP adresa.
Prilikom "pretraživanja" u ovoj bazi podataka, web preglednik može pronaći web stranice u vaše ime. Zbog početnog dizajna DNS-a prije desetljeća, preglednici koji su izvodili DNS pretraživanja za web stranice (uključujući https: //) morali su izvršiti ta pretraživanja bez šifriranja.
Jer nema šifriranja, ostali uređaji na putu mogu i sakupljati (ili čak blokirati ili izmijeniti) ovih datuma. DNS pretraživanja šalju se poslužiteljima koji mogu špijunirati povijest pregledavanja vašeg web mjesta bez da vas obavijeste ili objavljuju pravila o tome što učiniti s tim informacijama.
Kad je stvoren Internet, ova vrsta prijetnje privatnosti i sigurnosti ljudi bila je poznata, ali još uvijek nije iskorištena. Danas to znamo nešifrirani DNS nije samo ranjiv na prisluškivanje, već se i koristi, a igrači iz industrije priskočili su u pomoć kako bi se Internet mogao pomaknuti na sigurnije alternative.
Da bi to učinili, preglednici su odabrali izvođenje DNS pretraživanja preko šifrirane HTTPS veze. To će sakriti vašu povijest pregledavanja od napadača na mreži, spriječiti prikupljanje podataka od strane trećih strana na mreži koja povezuje vaše računalo s web mjestima koja posjećujete.
Tako je rođen DNS-over-HTTPS protokol koji pruža mogućnost web preglednicima da sakriju DNS upite i odgovore u uobičajenom HTTPS prometu kako bi DNS promet korisnika postao nevidljiv. Istodobno, to ugrožava sposobnost promatrača mreža trećih strana (poput ISP-a) da otkriju i filtriraju promet svojih kupaca.
Kako Oblivious djeluje?
ODoH je protokol u nastajanju koji se razvija u IETF-u i djeluje dodavanje sloja šifriranja javnog ključa kao i proxyja mreža između DoH klijenata i poslužitelja, poput 1.1.1.1.
Prema Cloudflareu, kombinacija ova dva dodatna elementa osigurava da samo korisnik istovremeno ima pristup i DNS porukama i vlastitoj IP adresi.
Cilj dešifrira zahtjeve šifrirane od strane klijenta, putem opunomoćenika. Također, cilj šifrira odgovore i šalje ih natrag proxyju. Standard kaže da je cilj možda i ne mora biti razrješivač.
Proxy radi ono što bi proxy trebao učiniti, da koji prenosi poruke između klijenta i cilja.
Klijent se ponaša kao u DNS-u i DoH-u, ali se razlikuje šifriranjem upita za cilj i dešifriranjem odgovora s cilja. Svaki klijent koji to odluči može odrediti proxyja i cilj po svom izboru.
Dodani šifriranje i proxy zajedno pružaju sljedeće zaštitne mjere:
- Cilj vidi samo zahtjev za proxy i IP adresu.
- Proxy nema vidljivost u DNS porukama, nema mogućnost prepoznavanja, čitanja ili modificiranja zahtjeva koji je poslao klijent ili odgovora koji je vratio cilj.
- Samo predviđeni cilj može pročitati sadržaj zahtjeva i dati odgovor.
Ova tri jamstva poboljšavaju privatnost kupaca, a istovremeno održavaju sigurnost i integritet DNS upita.
izvor: https://blog.cloudflare.com