Kỹ sư Cloudflare, Apple và mạng lưới phân phối nhanh chóng đã tạo giao thức ODoH (DoH rõ ràng), là một thay đổi lớn trong hệ thống tên miền hiện tại dịch tên miền thân thiện với người dùng thành địa chỉ IP mà máy tính cần tìm máy tính khác.
Các công ty đang làm việc với Lực lượng Đặc nhiệm Kỹ thuật Internet (IETF, một tổ chức phát triển và thúc đẩy các tiêu chuẩn Internet) với hy vọng rằng nó sẽ trở thành một tiêu chuẩn toàn cầu.
Về ODoH
DoH rõ ràng dựa trên một cải tiến DNS riêng được gọi là DNS-over-HTTPS (viết tắt của DoH), vẫn đang trong giai đoạn đầu được áp dụng.
Đầu tiên, điều quan trọng là phải đặt các phần tử vào ngữ cảnh của chúng. DNS là cơ sở dữ liệu kết nối tên mô tả, chẳng hạn như www.domain.com, với một loạt các số được máy tính hóa, được gọi là địa chỉ IP.
Khi thực hiện "tìm kiếm" trong cơ sở dữ liệu này, trình duyệt web có thể tìm các trang web thay mặt bạn. Do thiết kế ban đầu của DNS cách đây nhiều thập kỷ, các trình duyệt đã thực hiện tra cứu DNS cho các trang web (bao gồm https: //) họ phải thực hiện những tìm kiếm này mà không cần mã hóa.
Vì không có mã hóa, các thiết bị khác trên đường họ cũng có thể thu thập (hoặc thậm chí chặn hoặc sửa đổi) những ngày này. Tra cứu DNS được gửi đến các máy chủ có thể theo dõi lịch sử duyệt web của bạn mà không cần thông báo cho bạn hoặc đăng chính sách về việc phải làm gì với thông tin đó.
Khi Internet được tạo ra, loại mối đe dọa đối với quyền riêng tư và an ninh của mọi người đã được biết đến, nhưng chưa được khai thác. Ngày nay, chúng ta biết rằng DNS không được mã hóa không chỉ dễ bị gián điệp mà còn bị khai thácvà các công ty trong ngành đã ra tay giải cứu để Internet có thể chuyển sang các giải pháp thay thế an toàn hơn.
Để thực hiện việc này, các trình duyệt đã chọn thực hiện tra cứu DNS qua kết nối HTTPS được mã hóa. Thao tác này sẽ ẩn lịch sử duyệt web của bạn khỏi những kẻ tấn công trên mạng, ngăn chặn việc thu thập dữ liệu của các bên thứ ba trên mạng kết nối máy tính của bạn với các trang web bạn truy cập.
Do đó, giao thức DNS-over-HTTPS được sinh ra để cung cấp khả năng cho các trình duyệt web ẩn các truy vấn và phản hồi DNS trong lưu lượng HTTPS bình thường để làm cho lưu lượng DNS của người dùng trở nên vô hình. Đồng thời, nó làm tổn hại đến khả năng của những người theo dõi mạng bên thứ ba (chẳng hạn như ISP) trong việc phát hiện và lọc lưu lượng khách hàng của họ.
Làm thế nào để Oblivious hoạt động?
ODoH là một giao thức mới nổi đang được phát triển tại IETF, nó hoạt động thêm một lớp mã hóa khóa công khai cũng như một proxy mạng giữa máy khách và máy chủ DoH, chẳng hạn như 1.1.1.1.
Theo Cloudflare, sự kết hợp của hai yếu tố bổ sung này đảm bảo rằng chỉ người dùng mới có quyền truy cập vào cả thông báo DNS và địa chỉ IP của chính họ cùng một lúc.
Mục tiêu giải mã các yêu cầu được mã hóa bởi máy khách, thông qua một proxy. Ngoài ra, mục tiêu mã hóa các phản hồi và gửi chúng trở lại proxy. Tiêu chuẩn nói rằng mục tiêu có thể là bộ phân giải hoặc có thể không.
Proxy thực hiện những gì mà một proxy phải làm, ya chuyển thông điệp giữa khách hàng và mục tiêu.
Máy khách hoạt động như trong DNS và DoH, nhưng tự phân biệt bằng cách mã hóa các truy vấn cho mục tiêu và giải mã các phản hồi từ mục tiêu. Bất kỳ khách hàng nào chọn làm như vậy đều có thể chỉ định proxy và mục tiêu mà họ chọn.
Cùng với nhau, mã hóa và proxy được bổ sung cung cấp các biện pháp bảo vệ sau:
- Mục tiêu chỉ nhìn thấy yêu cầu proxy và địa chỉ IP.
- Proxy không có khả năng hiển thị các thông báo DNS, nó không có khả năng xác định, đọc hoặc sửa đổi yêu cầu được gửi bởi máy khách hoặc phản hồi do đích trả về.
- Chỉ mục tiêu đã định mới có thể đọc nội dung của yêu cầu và đưa ra phản hồi.
Ba đảm bảo này nâng cao quyền riêng tư của khách hàng trong khi duy trì tính bảo mật và tính toàn vẹn của các truy vấn DNS.
Fuente: https://blog.cloudflare.com