Cloudflare inženirji, Apple in distribucijsko mrežo Fastly so ustvarili protokol ODoH (Oblivable DoH), kar je velika sprememba v sistemu domenskih imen tok, ki uporabniku prijazna domenska imena prevede v naslove IP, ki jih računalniki potrebujejo za iskanje drugih računalnikov.
Podjetja sodelujejo s projektno skupino za internetni inženiring (IETF, organizacija, ki razvija in promovira internetne standarde) v upanju, da bo postal svetovni standard.
O ODoH
Neviden DoH temelji na ločeni izboljšavi DNS, imenovani DNS-over-HTTPS (kratica za DoH), ki je še vedno v začetni fazi sprejetja.
Najprej je pomembno, da elemente postavimo v njihov kontekst. DNS je baza podatkov, ki opisno ime, kot je www.domain.com, poveže z vrsto računalniških številk, imenovanih IP naslov.
Pri "iskanju" v tej bazi podatkov spletni brskalnik lahko v vašem imenu najde spletna mesta. Zaradi prvotne zasnove DNS pred desetletji so brskalniki, ki so iskali DNS za spletna mesta (vključno s https: //) ta iskanja so morali izvesti brez šifriranja.
Ker ni šifriranja, druge naprave na poti lahko tudi zbirajo (ali celo blokirati ali spremeniti) teh datumov. Iskanje DNS se pošlje strežnikom, ki lahko vohunijo za zgodovino brskanja na vašem spletnem mestu, ne da bi vas o tem obvestili ali objavili pravilnik o tem, kaj storiti s temi podatki.
Ko je bil internet ustvarjen, je bila ta vrsta grožnje zasebnosti in varnosti ljudi znana, vendar še ni izkoriščena. Danes to vemo nešifrirani DNS ni samo ranljiv za prisluškovanje, temveč ga tudi izkorišča, in igralci v industriji so priskočili na pomoč, tako da lahko internet preide na varnejše alternative.
V ta namen so brskalniki izbrali iskanje DNS po šifrirani povezavi HTTPS. Tako boste zgodovino brskanja skrili pred napadalci v omrežju in preprečili zbiranje podatkov s strani tretjih oseb v omrežju, ki poveže vaš računalnik s spletnimi mesti, ki jih obiščete.
Tako se je rodil protokol DNS-over-HTTPS, ki spletnim brskalnikom ponuja možnost skrivanja poizvedb DNS in odzivov v običajnem prometu HTTPS, da postane uporabnikov promet DNS neviden. Hkrati ogroža zmožnost zunanjih opazovalcev omrežja (kot so ponudniki internetnih storitev), da zaznajo in filtrirajo promet svojih strank.
Kako deluje Oblivious?
ODoH je nov protokol, ki se razvija na IETF in deluje dodajanje plasti šifriranja z javnim ključem in namestnika omrežje med odjemalci in strežniki DoH, kot je 1.1.1.1.
Po navedbah Cloudflare kombinacija teh dveh dodatnih elementov zagotavlja, da ima samo uporabnik hkrati dostop do sporočil DNS in lastnega naslova IP.
Cilj dešifrira zahteve, ki jih šifrira odjemalec, prek posrednika. Tudi cilj šifrira odgovore in jih pošlje nazaj posredniku. Standard pravi, da je lahko reševalec tarča ali ne.
Proxy naredi tisto, kar naj bi proxy naredil, ja ki prenaša sporočila med odjemalcem in ciljem.
Odjemalec se obnaša tako kot v DNS in DoH, vendar se razlikuje tako, da šifrira poizvedbe za cilj in dešifrira odgovore s cilja. Vsaka stranka, ki se odloči za to, lahko določi proxy in cilj po svoji izbiri.
Dodana šifriranje in proxy skupaj zagotavljata naslednje zaščitne ukrepe:
- Cilj vidi samo zahtevo proxy in naslov IP.
- Proxy nima vidnosti sporočil DNS, nima možnosti prepoznavanja, branja ali spreminjanja zahteve, ki jo pošlje odjemalec, ali odziva, ki ga vrne cilj.
- Samo predvideni cilj lahko prebere vsebino zahteve in odda odgovor.
Ta tri jamstva izboljšujejo zasebnost strank, hkrati pa ohranjajo varnost in celovitost poizvedb DNS.
vir: https://blog.cloudflare.com