Apple Cloudflare工程師 和快速分銷網絡 已創建ODoH協議 (遺忘的DoH),這是 域名系統的重大變化 當前,它將用戶友好的域名轉換為計算機查找其他計算機所需的IP地址。
該公司 正在與Internet工程任務組合作 (IETF,一個開發和推廣Internet標準的組織),希望它將成為全球標準。
關於ODoH
遺忘的衛生部 依賴於稱為DNS-over-HTTPS的單獨DNS增強功能 (DoH的縮寫),目前仍處於採用初期。
首先,將項目放在上下文中很重要DNS是一個將描述性名稱(例如www.domain.com)連接到一系列稱為IP地址的計算機化數字的數據庫。
在此數據庫中執行“搜索”時, 網絡瀏覽器可以代表您查找網站。 由於幾十年前DNS的最初設計,瀏覽器對網站(包括https://)執行DNS查找。 他們必須不加密就執行這些搜索。
因為沒有加密,正在路上的其他設備 他們也可以收集 (甚至阻止或修改) 這些日期。 DNS查詢被發送到可以窺探您網站瀏覽歷史的服務器,而無需通知您或發布有關處理該信息的策略。
創建Internet時,這種對人們的隱私和安全的威脅是已知的,但尚未被利用。 今天,我們知道 未加密的DNS不僅容易受到間諜的攻擊,而且還被利用,並且業界參與者紛紛前來搶救,以便Internet可以轉向更安全的替代方案。
為此,瀏覽器已選擇通過加密的HTTPS連接執行DNS查找。 這將向網絡攻擊者隱藏您的瀏覽歷史記錄,防止將計算機連接到您訪問的網站的網絡上的第三方收集數據。
因此,誕生了HTTP over HTTPS協議,該協議為Web瀏覽器提供了在外觀正常的HTTPS通信中隱藏DNS查詢和響應的功能,從而使用戶的DNS通信不可見。 同時,它損害了第三方網絡觀察者(例如ISP)檢測和過濾其客戶流量的能力。
遺忘如何運作?
ODoH是IETF正在開發的新興協議,它的工作原理是 添加一層公共密鑰加密以及代理 DoH客戶端和服務器之間的網絡,例如1.1.1.1。
根據Cloudflare的說法,這兩個附加元素的組合確保只有用戶才能同時訪問DNS消息和他們自己的IP地址。
目標解密由客戶端加密的請求,通過代理。 另外,目標 加密響應並將其發送回代理。 該標准說目標可以是也可以不是解析器。
代理會執行代理應做的事情 在客戶端和目標之間傳輸消息。
客戶端的行為與在DNS和DoH中的行為相同,但通過加密目標查詢和解密目標響應來區分自己。 選擇這樣做的任何客戶端都可以指定他們選擇的代理和目標。
一起,添加的加密和代理提供以下保護措施:
- 目標僅看到代理請求和IP地址。
- 代理無法查看DNS消息,它無法識別,讀取或修改客戶端發送的請求或目標返回的響應。
- 只有預期的目標才能讀取請求的內容並產生響應。
這三個保證可以增強客戶隱私,同時保持DNS查詢的安全性和完整性。
來源: https://blog.cloudflare.com