Cloudflareエンジニア、Apple と高速配信ネットワーク ODoHプロトコルを作成しました (忘却のDoH)、それは ドメインネームシステムの大きな変更 ユーザーフレンドリーなドメイン名を、コンピューターが他のコンピューターを見つけるために必要なIPアドレスに変換するcurrent。
企業の インターネットエンジニアリングタスクフォースと協力しています (IETF、インターネット標準を開発および促進する組織)それが世界標準になることを期待して。
ODoHについて
忘却のDoH DNS-over-HTTPSと呼ばれる別のDNS拡張機能に依存しています (DoHの略)、これはまだ採用の初期段階にあります。
まず、要素をコンテキストに配置することが重要です。DNSは、www.domain.comなどの説明的な名前を、IPアドレスと呼ばれる一連のコンピューター化された番号に接続するデータベースです。
このデータベースで「検索」を実行する場合、 ウェブブラウザはあなたに代わってウェブサイトを見つけることができます。 数十年前のDNSの初期設計により、WebサイトのDNSルックアップを実行したブラウザー(https://を含む) 彼らは暗号化せずにこれらの検索を実行しなければなりませんでした。
暗号化がないため、途中の他のデバイス 彼らはまた集めることができます (またはブロックまたは変更することもできます) これらの日付。 DNSルックアップは、通知したり、その情報をどう処理するかについてのポリシーを投稿したりすることなく、Webサイトの閲覧履歴をスパイできるサーバーに送信されます。
インターネットが作成されたとき、人々のプライバシーとセキュリティに対するこの種の脅威は知られていましたが、まだ悪用されていませんでした。 今日、私たちはそれを知っています 暗号化されていないDNSはスパイに対して脆弱であるだけでなく、悪用されます、そして業界のプレーヤーが救助に来て、インターネットがより安全な代替手段に移行できるようになりました。
これを行うために、ブラウザは暗号化されたHTTPS接続を介してDNSルックアップを実行することを選択しました。 これにより、ネットワーク上の攻撃者から閲覧履歴が隠され、アクセスしたWebサイトにコンピューターを接続するネットワーク上の第三者によるデータの収集が防止されます。
このようにして、DNS-over-HTTPSプロトコルが誕生しました。これは、Webブラウザが通常のHTTPSトラフィックでDNSクエリと応答を非表示にして、ユーザーのDNSトラフィックを非表示にする機能を提供します。 同時に、サードパーティのネットワークウォッチャー(ISPなど)が顧客のトラフィックを検出してフィルタリングする機能が損なわれます。
Obliviousはどのように機能しますか?
ODoHは、IETFで開発中の新しいプロトコルであり、機能します。 公開鍵暗号化のレイヤーとプロキシを追加する 1.1.1.1などのDoHクライアントとサーバー間のネットワーク。
Cloudflareによると、これらXNUMXつの追加要素の組み合わせにより、ユーザーのみがDNSメッセージと自分のIPアドレスの両方に同時にアクセスできるようになります。
ターゲットは、クライアントによって暗号化された要求を復号化します、プロキシ経由。 また、目的 応答を暗号化し、プロキシに送り返します。 標準では、ターゲットがリゾルバーである場合とそうでない場合があるとされています。
プロキシは、プロキシが行うことになっていることを実行します。 クライアントとターゲットの間でメッセージを転送します。
クライアントはDNSやDoHと同じように動作しますが、ターゲットのクエリを暗号化し、ターゲットからの応答を復号化する点で異なります。 そうすることを選択したクライアントは、選択したプロキシとターゲットを指定できます。
追加された暗号化とプロキシを組み合わせることで、次のセーフガードが提供されます。
- ターゲットには、プロキシ要求とIPアドレスのみが表示されます。
- プロキシにはDNSメッセージの可視性がなく、クライアントから送信された要求またはターゲットから返された応答を識別、読み取り、または変更する機能がありません。
- 目的のターゲットのみが要求の内容を読み取り、応答を生成できます。
これらのXNUMXつの保証は、DNSクエリのセキュリティと整合性を維持しながら、顧客のプライバシーを強化します。
出典 https://blog.cloudflare.com