Cloudflare inženieri, Apple un ātri izplatīšanas tīkls ir izveidojuši ODoH protokolu (Aizmirstīgs DoH), kas ir lielas izmaiņas domēna vārdu sistēmā pašreizējais, kas lietotājiem draudzīgus domēnu vārdus pārvērš IP adresēs, kas datoriem nepieciešamas, lai atrastu citus datorus.
Uzņēmumi strādā ar Interneta inženierijas darba grupu (IETF, organizācija, kas izstrādā un popularizē interneta standartus) cerībā, ka tā kļūs par globālu standartu.
Par ODoH
Neaizmirstams DoH paļaujas uz atsevišķu DNS uzlabojumu, ko sauc par DNS pār HTTPS (saīsinājums no DoH), kas joprojām ir agrīnā pieņemšanas stadijā.
Pirmkārt, ir svarīgi elementus ievietot to kontekstā.DNS ir datu bāze, kas aprakstošo nosaukumu, piemēram, www.domain.com, savieno ar datorizētu numuru sēriju, ko sauc par IP adresi.
Veicot "meklēšanu" šajā datu bāzē, tīmekļa pārlūks var atrast vietnes jūsu vārdā. Sakarā ar sākotnējo DNS dizainu pirms vairākiem gadu desmitiem pārlūkprogrammas, kas veica vietņu DNS meklēšanu (ieskaitot https: //) viņiem šie meklējumi bija jāveic bez šifrēšanas.
Tā kā šifrēšanas nav, citas ierīces ceļā viņi var arī savākt (vai pat bloķēt vai modificēt) šos datumus. DNS uzmeklēšana tiek nosūtīta uz serveriem, kuri var izspiegot jūsu vietnes pārlūkošanas vēsturi, par to neziņojot vai nepublicējot politiku par to, kā rīkoties ar šo informāciju.
Kad tika izveidots internets, šāda veida draudi cilvēku privātumam un drošībai bija zināmi, bet vēl netika izmantoti. Šodien mēs to zinām nešifrēts DNS ir neaizsargāts ne tikai pret noklausīšanos, bet arī tiek izmantots, un nozares spēlētāji ir nonākuši glābšanā, lai internets varētu pāriet uz drošākām alternatīvām.
Lai to izdarītu, pārlūkprogrammas ir izvēlējušās veikt DNS meklēšanu, izmantojot šifrētu HTTPS savienojumu. Tas paslēps jūsu pārlūkošanas vēsturi no uzbrucējiem tīklā, novērsīs trešo personu datu vākšanu tīklā, kas savieno jūsu datoru ar jūsu apmeklētajām vietnēm.
Tādējādi tika izveidots DNS-over-HTTPS protokols, kas tīmekļa pārlūkprogrammām piedāvā iespēju slēpt DNS vaicājumus un atbildes parastā izskata HTTPS trafikā, lai padarītu lietotāja DNS trafiku neredzamu. Tajā pašā laikā tas apdraud trešo pušu tīkla vērotāju (piemēram, interneta pakalpojumu sniedzēju) iespējas noteikt un filtrēt klientu trafiku.
Kā darbojas aizmirstība?
ODoH ir jauns protokols, kas tiek izstrādāts IETF, tas darbojas pievienojot publiskās atslēgas šifrēšanas slāni, kā arī starpniekserveri tīkls starp DoH klientiem un serveriem, piemēram, 1.1.1.1.
Pēc Cloudflare domām, šo divu papildu elementu kombinācija nodrošina to, ka tikai lietotājam vienlaikus ir piekļuve gan DNS ziņojumiem, gan savai IP adresei.
Mērķis atšifrē klienta šifrētos pieprasījumus, izmantojot pilnvaru. Arī mērķis šifrē atbildes un nosūta tās atpakaļ uz starpniekserveri. Standartā teikts, ka mērķis var būt vai nebūt atrisinātājs.
Pilnvarnieks dara to, kas jādara pilnvarniekam, jā kas pārsūta ziņojumus starp klientu un mērķi.
Klients rīkojas tāpat kā DNS un DoH, taču atšķiras, šifrējot mērķa vaicājumus un atšifrējot atbildes no mērķa. Jebkurš klients, kurš to izvēlas, var norādīt starpniekserveri un mērķi pēc savas izvēles.
Pievienotā šifrēšana un starpniekserveris kopā nodrošina šādus drošības pasākumus:
- Mērķis redz tikai starpniekservera pieprasījumu un IP adresi.
- Starpniekserverim nav redzamības DNS ziņojumos, tam nav iespēju identificēt, lasīt vai modificēt klienta nosūtīto pieprasījumu vai mērķa atgriezto atbildi.
- Tikai paredzētais mērķis var izlasīt pieprasījuma saturu un sniegt atbildi.
Šīs trīs garantijas uzlabo klientu privātumu, vienlaikus saglabājot DNS vaicājumu drošību un integritāti.
Fuente: https://blog.cloudflare.com