„Cloudflare“ inžinieriai, „Apple“ ir „Fastly“ paskirstymo tinklas sukūrė ODoH protokolą (Užmarštis DoH), o tai yra esminis domenų vardų sistemos pokytis vartotojams patogius domenų pavadinimus paverčia IP adresais, kurių kompiuteriai turi rasti kitiems kompiuteriams.
Įmonės dirbame su interneto inžinerijos darbo grupe (IETF, organizacija, kurianti ir propaguojanti interneto standartus) tikėdamasi, kad ji taps pasauliniu standartu.
Apie ODoH
Užmarštis DoH remiasi atskiru DNS patobulinimu, vadinamu „DNS-over-HTTPS“ (trumpinys - DoH), kuris vis dar yra ankstyvas įvaikinimo etapas.
Pirma, svarbu elementus įtraukti į jų kontekstą.DNS yra duomenų bazė, jungianti aprašomąjį pavadinimą, pvz., Www.domain.com, su kompiuterizuotų numerių serija, vadinama IP adresu.
Atlikdami „paiešką“ šioje duomenų bazėje, žiniatinklio naršyklė gali rasti svetaines jūsų vardu. Dėl pradinio DNS dizaino prieš kelis dešimtmečius naršyklės, atlikusios svetainių DNS paiešką (įskaitant https: //) jie turėjo atlikti šias paieškas be šifravimo.
Nes nėra šifravimo, kiti kelyje esantys įrenginiai jie taip pat gali rinkti (ar net blokuoti ar modifikuoti) šias datas. DNS peržiūra siunčiama į serverius, kurie gali šnipinėti jūsų svetainės naršymo istoriją nepranešę apie jus ir nepaskelbę politikos, ką daryti su ta informacija.
Kai buvo sukurtas internetas, tokio pobūdžio grėsmė žmonių privatumui ir saugumui buvo žinoma, tačiau dar nebuvo išnaudota. Šiandien mes tai žinome nešifruotas DNS yra ne tik pažeidžiamas šnipinėjimo, bet ir naudojamasir pramonės žaidėjai atėjo į pagalbą, kad internetas galėtų pereiti prie saugesnių alternatyvų.
Norėdami tai padaryti, naršyklės pasirinko atlikti DNS paiešką per užšifruotą HTTPS ryšį. Tai paslėps jūsų naršymo istoriją nuo užpuolikų tinkle, neleis trečiosioms šalims rinkti duomenų tinkle, jungiančiame jūsų kompiuterį su lankomomis svetainėmis.
Taigi gimė DNS per HTTPS protokolas, suteikiantis galimybę interneto naršyklėms paslėpti DNS užklausas ir atsakymus įprastos išvaizdos HTTPS sraute, kad vartotojo DNS srautas būtų nematomas. Tuo pačiu tai pažeidžia trečiųjų šalių tinklo stebėtojų (pvz., Interneto paslaugų teikėjų) galimybes aptikti ir filtruoti klientų srautus.
Kaip veikia „Oblivious“?
ODoH yra naujas protokolas, kuriamas IETF, jis veikia pridedant viešojo rakto šifravimo sluoksnį ir tarpinį serverį tinklas tarp „DoH“ klientų ir serverių, pvz., 1.1.1.1.
„Cloudflare“ teigimu, šių dviejų papildomų elementų derinys užtikrina, kad tik vartotojas vienu metu gali pasiekti tiek DNS pranešimus, tiek savo IP adresą.
Taikinys iššifruoja kliento užšifruotas užklausas, per įgaliojimą. Be to, tikslas užšifruoja atsakymus ir siunčia juos atgal į tarpinį serverį. Standartas sako, kad taikinys gali būti ne sprendimas.
Įgaliotas asmuo daro tai, ką turėtų daryti įgaliotinis kad perduoda pranešimus tarp kliento ir taikinio.
Klientas elgiasi taip, kaip elgiasi DNS ir DoH, tačiau skiriasi šifruodamas tikslo užklausas ir iššifruodamas atsakymus iš tikslo. Bet kuris klientas, pasirinkęs tai padaryti, gali nurodyti savo pasirinktą tarpinį serverį ir tikslą.
Pridedamas šifravimas ir tarpinis serveris kartu užtikrina šias apsaugos priemones:
- Taikinys mato tik tarpinio serverio užklausą ir IP adresą.
- Tarpinis serveris neturi matomumo DNS pranešimuose, jis negali identifikuoti, skaityti ar modifikuoti kliento atsiųstos užklausos ar taikinio grąžinto atsakymo.
- Tik numatytas taikinys gali perskaityti užklausos turinį ir pateikti atsakymą.
Šios trys garantijos pagerina klientų privatumą, išlaikant DNS užklausų saugumą ir vientisumą.
Fuente: https://blog.cloudflare.com