Cloudflare-ingeniører, Apple og Fastly distribusjonsnettverket har opprettet ODoH-protokollen (Oblivious DoH), som er en stor endring i domenenavnsystemet nåværende som oversetter brukervennlige domenenavn til IP-adresser som datamaskiner trenger for å finne andre datamaskiner.
Bedrifter jobber med Internet Engineering Task Force (IETF, en organisasjon som utvikler og markedsfører internettstandarder) i håp om at den vil bli en global standard.
Om ODoH
Glemsk DoH er avhengig av en egen DNS-forbedring kalt DNS-over-HTTPS (forkortelse for DoH), som fremdeles er i sine tidlige stadier av adopsjon.
For det første er det viktig å sette elementene i sin sammenheng. DNS er en database som kobler et beskrivende navn, for eksempel www.domain.com, til en serie med datastyrte nummer, kalt en IP-adresse.
Når du utfører et "søk" i denne databasen, nettleseren kan finne nettsteder på dine vegne. På grunn av den opprinnelige utformingen av DNS for flere tiår siden, nettlesere som utførte DNS-oppslag for nettsteder (inkludert https: //) de måtte utføre disse søkene uten kryptering.
Fordi det ikke er kryptering, andre enheter på vei de kan også samle inn (eller til og med blokkere eller endre) disse datoene. DNS-oppslag blir sendt til servere som kan spionere på nettstedsleserloggen uten å varsle deg eller legge ut en policy om hva du skal gjøre med den informasjonen.
Da Internett ble opprettet, var denne typen trussel mot folks personvern og sikkerhet kjent, men ennå ikke utnyttet. I dag vet vi det ukryptert DNS er ikke bare sårbart for spionasje, det utnyttes også, og bransjeaktører har kommet til unnsetning slik at Internett kan flytte til tryggere alternativer.
For å gjøre dette har nettlesere valgt å utføre DNS-oppslag over en kryptert HTTPS-forbindelse. Dette vil skjule nettleserloggen din fra angripere på nettverket, forhindre innsamling av data fra tredjeparter på nettverket som kobler datamaskinen din til nettstedene du besøker.
Dermed ble DNS-over-HTTPS-protokollen født som gir muligheten for nettlesere til å skjule DNS-spørsmål og svar i normal HTTPS-trafikk for å gjøre en brukers DNS-trafikk usynlig. Samtidig kompromitterer det muligheten til tredjeparts nettverksovervåkere (for eksempel Internett-leverandører) til å oppdage og filtrere kundetrafikken.
Hvordan fungerer Oblivious?
ODoH er en nye protokoll under utvikling på IETF, den fungerer legge til et lag med offentlig nøkkelkryptering samt en proxy nettverk mellom DoH-klienter og servere, for eksempel 1.1.1.1.
Ifølge Cloudflare sikrer kombinasjonen av disse to tilleggselementene at bare brukeren har tilgang til både DNS-meldinger og sin egen IP-adresse samtidig.
Målet dekrypterer forespørslene kryptert av klienten, gjennom en fullmektig. Også målet krypterer svarene og sender dem tilbake til proxyen. Standarden sier at målet kanskje ikke er løseren.
Fullmakeren gjør hva en fullmektig skal gjøre, ja som overfører meldinger mellom klienten og målet.
Klienten oppfører seg som den gjør i DNS og DoH, men skiller seg ved å kryptere spørringene for målet og dekryptere svarene fra målet. Enhver klient som velger å gjøre det, kan spesifisere en fullmektig og mål etter eget valg.
Tilsammen gir den ekstra kryptering og proxy følgende garantier:
- Målet ser bare proxy-forespørselen og IP-adressen.
- Fullmakten har ingen synlighet i DNS-meldinger, den har ikke muligheten til å identifisere, lese eller endre forespørselen sendt av klienten eller svaret som returneres av målet.
- Bare det tiltenkte målet kan lese innholdet i forespørselen og gi et svar.
Disse tre garantiene forbedrer kunders personvern samtidig som de opprettholder sikkerheten og integriteten til DNS-spørsmål.
Fuente: https://blog.cloudflare.com