每次您访问网站时,您的浏览器都会使用DNS解析器将网址转换为机器可读的IP地址,以定位网页在Internet上的位置。但是此过程未加密,这意味着每次加载网站时,DNS查询都会以明文形式发送。这意味着DNS解析器(除非您进行了更改,否则可能是您的互联网提供商)知道您访问的网站。这对您的隐私不利,尤其是因为您的互联网提供商也可以将您的浏览历史记录出售给广告客户。
DNS-over-HTTPS(或DoH)之类的最新发展为DNS查询增加了加密,使攻击者更难劫持DNS查询并将受害者指向恶意网站,而不是您想要访问的真实网站。但这仍然不能阻止DNS解析器查看您要访问的网站。
输入ODoH,这将使DNS查询与互联网用户脱钩,从而阻止DNS解析器知道您访问了哪些站点。
它的工作方式如下:ODoH在DNS查询周围包裹一层加密,并将其通过代理服务器传递,该代理服务器充当Internet用户和他们要访问的网站之间的桥梁。由于DNS查询是加密的,因此代理无法看到其中的内容,但可以作为屏蔽,以防止DNS解析器看到谁是发送查询的开始。
Cloudflare研究负责人尼克·沙利文(Nick Sullivan)表示:“ ODoH的目的是将谁在进行查询以及查询的内容分开。”
换句话说,ODoH确保只有代理知道互联网用户的身份,并且DNS解析器仅知道所请求的网站。沙利文表示,ODoH上的页面加载时间与DoH几乎“无法区分”,并且不应对浏览速度造成任何重大影响。
Sullivan说,ODoH正常工作的一个关键组成部分是确保代理和DNS解析器永远不会“合谋”,因为两者永远不会由同一个实体控制,否则“知识的分离将被打破”。这意味着必须依靠提供代理服务的公司。
Sullivan说,一些合作伙伴组织已经在运行代理,允许早期采用者通过Cloudflare现有的1.1.1.1 DNS解析器开始使用该技术。 但是大多数人都必须等到ODoH进入浏览器和操作系统后才能使用。 这可能要花费数月或数年,具体取决于Internet工程任务组将ODoH认证为标准需要多长时间。