Engenheiros Cloudflare, Apple e a rede de distribuição Fastly criaram o protocolo ODoH (Oblivious DoH), que é uma grande mudança no sistema de nomes de domínio atual que traduz nomes de domínio fáceis de usar em endereços IP de que os computadores precisam para encontrar outros computadores.
Corporativo estão trabalhando com a Força-Tarefa de Engenharia da Internet (IETF, uma organização que desenvolve e promove padrões da Internet) na esperança de que se torne um padrão global.
Sobre ODoH
Esquecido DoH depende de um aprimoramento de DNS separado chamado DNS-over-HTTPS (abreviação de DoH), que ainda está em seus estágios iniciais de adoção.
Primeiro, é importante colocar os elementos em seu contexto: DNS é um banco de dados que conecta um nome descritivo, como www.domain.com, a uma série de números informatizados, chamados de endereço IP.
Ao realizar uma "pesquisa" neste banco de dados, o navegador da web pode encontrar sites em seu nome. Devido ao design inicial do DNS há décadas, os navegadores que realizavam pesquisas DNS para sites (incluindo https: //) eles tiveram que realizar essas pesquisas sem criptografia.
Porque não há criptografia, outros dispositivos no caminho eles também podem coletar (ou mesmo bloquear ou modificar) estes dados. As pesquisas de DNS são enviadas para servidores que podem espionar o histórico de navegação do seu site sem notificá-lo ou postar uma política sobre o que fazer com essas informações.
Quando a Internet foi criada, esse tipo de ameaça à privacidade e segurança das pessoas era conhecido, mas ainda não explorado. Hoje sabemos que DNS não criptografado não é apenas vulnerável a espionagem, ele também é explorado, e os participantes da indústria vieram em seu socorro para que a Internet pudesse avançar para alternativas mais seguras.
Para fazer isso, os navegadores optaram por realizar pesquisas DNS em uma conexão HTTPS criptografada. Isso irá ocultar seu histórico de navegação de invasores na rede, evitando a coleta de dados por terceiros na rede que conecta seu computador aos sites que você visita.
Assim, nasceu o protocolo DNS sobre HTTPS, que fornece aos navegadores da Web a capacidade de ocultar consultas e respostas DNS em tráfego HTTPS de aparência normal para tornar o tráfego DNS de um usuário invisível. Ao mesmo tempo, compromete a capacidade de observadores de rede de terceiros (como ISPs) de detectar e filtrar o tráfego de seus clientes.
Como funciona o Oblivious?
ODoH é um protocolo emergente em desenvolvimento na IETF, funciona adicionar uma camada de criptografia de chave pública, bem como um proxy rede entre clientes DoH e servidores, como 1.1.1.1.
De acordo com o Cloudflare, a combinação desses dois elementos adicionais garante que apenas o usuário tenha acesso às mensagens DNS e ao seu próprio endereço IP ao mesmo tempo.
O destino descriptografa as solicitações criptografadas pelo cliente, por meio de um proxy. Além disso, o objetivo criptografa as respostas e as envia de volta ao proxy. O padrão diz que o alvo pode ou não ser o resolvedor.
O proxy faz o que um proxy deve fazer, sim que transfere mensagens entre o cliente e o destino.
O cliente se comporta como no DNS e no DoH, mas difere criptografando as consultas para o destino e descriptografando as respostas do destino. Qualquer cliente que decidir fazer isso pode especificar um proxy e um destino de sua escolha.
Juntos, a criptografia e o proxy adicionados fornecem as seguintes proteções:
- O destino só vê a solicitação de proxy e o endereço IP.
- O proxy não tem visibilidade das mensagens DNS, não tem a capacidade de identificar, ler ou modificar a solicitação enviada pelo cliente ou a resposta retornada pelo destino.
- Apenas o destino pretendido pode ler o conteúdo da solicitação e produzir uma resposta.
Essas três garantias aumentam a privacidade do cliente, mantendo a segurança e a integridade das consultas DNS.
fonte: https://blog.cloudflare.com