Apple Cloudflare工程师 和快速分销网络 已经创建了ODoH协议 (遗忘的DoH),这是 域名系统的重大变化 当前,它将用户友好的域名转换为计算机查找其他计算机所需的IP地址。
该公司 正在与Internet工程任务组合作 (IETF,一个开发和推广Internet标准的组织),希望它将成为全球标准。
关于ODoH
遗忘的卫生部 依赖于称为DNS-over-HTTPS的单独DNS增强功能 (DoH的缩写),目前仍处于采用初期。
首先,将元素放在上下文中很重要DNS是将描述性名称(例如www.domain.com)连接到一系列称为IP地址的计算机化数字的数据库。
在此数据库中执行“搜索”时, 网络浏览器可以代表您查找网站。 由于几十年前DNS的最初设计,浏览器对网站(包括https://)执行DNS查找。 他们必须不加密就执行这些搜索。
因为没有加密,正在路上的其他设备 他们也可以收集 (甚至阻止或修改) 这些日期。 DNS查询被发送到可以窥探您网站浏览历史的服务器,而无需通知您或发布有关处理该信息的策略。
创建Internet时,这种对人们的隐私和安全性的威胁是已知的,但尚未被利用。 今天,我们知道 未加密的DNS不仅容易受到间谍的攻击,而且还被利用,并且业界参与者纷纷前来抢救,以便Internet可以转向更安全的替代方案。
为此,浏览器已选择通过加密的HTTPS连接执行DNS查找。 这将向网络攻击者隐藏您的浏览历史记录,防止将计算机连接到您访问的网站的网络上的第三方收集数据。
因此,HTTP上的DNS协议诞生了,它为Web浏览器提供了在外观正常的HTTPS流量中隐藏DNS查询和响应的功能,从而使用户的DNS流量不可见。 同时,它损害了第三方网络观察者(例如ISP)检测和过滤其客户流量的能力。
遗忘如何运作?
ODoH是IETF正在开发的新兴协议,它的工作原理是 添加一层公共密钥加密以及代理 DoH客户端和服务器之间的网络,例如1.1.1.1。
根据Cloudflare的说法,这两个附加元素的结合确保了只有用户才能同时访问DNS消息和他们自己的IP地址。
目标解密由客户端加密的请求,通过代理。 另外,目标 加密响应并将其发送回代理。 该标准说目标可以是也可以不是解析器。
代理会执行代理应做的事情 在客户端和目标之间传输消息。
客户端的行为与在DNS和DoH中的行为相同,但通过加密目标查询和解密目标响应来区分自己。 选择这样做的任何客户端都可以指定他们选择的代理和目标。
一起,添加的加密和代理提供了以下保护措施:
- 目标仅看到代理请求和IP地址。
- 代理无法查看DNS消息,它无法识别,读取或修改客户端发送的请求或目标返回的响应。
- 只有预期的目标才能读取请求的内容并产生响应。
这三个保证可以增强客户隐私,同时保持DNS查询的安全性和完整性。
数据来源: https://blog.cloudflare.com