Cloudflare,Apple和Fastly共同设计并提出了新的DNS标准,以解决与DNS相关的持续隐私问题。
周二,Cloudflare的Tanya Verma和Sudheesh Singanamalla宣布了对新标准的支持,该标准将IP地址与查询分开,希望这一措施能够掩盖请求,使用户难以在线跟踪。
域名系统(DNS)已基本支持在线体系结构,但其基本形式仍在不加密的情况下发送查询。因此,潜伏在设备和DNS解析器之间的网络路径上的任何人都可以查看包含主机名(或请求的网站地址)和IP地址的查询。
经过设计的HTTPS(DoH)和TLS(DoT)上的DNS通过Internet工程任务组(IETF)标准化的DNS加密来保护这些路径,从而降低了查询被拦截或修改的风险-例如,通过防止攻击者将用户从合法域重定向到恶意地址。启用了DoH的第三方(例如ISP)也发现跟踪网站访问更加困难。
尽管部署计划仍在进行中,但许多主要浏览器提供商仍在进行DoH部署。现在,Cloudflare与合作伙伴PCCW Global,Surf和Equinix共同提出了基于HTTPS(ODoH)的DNS提议,以通过添加额外的公共密钥加密层和网络代理来改进这些模型。
普林斯顿大学和芝加哥大学进行的研究,"遗忘的DNS:DNS查询的实用隐私," (.PDF)由Paul Schmitt,Anne Edmundson,Allison Mankin和Nick Feamster于2019年发布,为新的标准提案提供了灵感。
ODoH的总体目标是使客户代理与解析器脱钩。在客户端和DoH服务器(例如Cloudflare的1.1.1.1的公用DNS解析器)之间插入了网络代理,并且结合使用了此代理和公用密钥加密,以确保仅用户可以同时访问DNS消息和自己的IP地址,"根据Cloudflare的说法。
"目标通过代理解密由客户端加密的查询," Cloudflare解释了。 "类似地,目标对响应进行加密并将其返回给代理。该标准说目标可以是也可以不是解析器。代理就像代理应该做的那样工作,因为它在客户端和目标之间转发消息。客户端的行为与在DNS和DoH中的行为相同,但是在加密目标查询和解密目标响应方面有所不同。选择这样做的任何客户端都可以指定代理和选择的目标。"
因此,ODoH应该确保只有目标用户才能查看查询和代理的IP地址;读取查询的内容或产生响应,并且代理对DNS消息不可见。
Cloudflare表示只要没有&collusion"或代理与目标服务器之间的妥协,攻击者应该不会干扰连接。
Cloudflare目前正与IETF合作制定该标准,并计划将ODoH添加到现有的存根解析器中,包括cloudflared。重要的是要注意,ODoH仍在开发中,两家公司目前正在跨不同的代理,目标和延迟级别测试性能。
已将代码的测试客户提供给开源社区,以鼓励尝试使用建议的标准。厂商可能需要数年才能支持新的DNS标准,但是Firefox的CTO Eric Rescorla已经表示Firefox将进行实验。与ODoH。
"我们希望有更多的运营商加入到我们的行列中,并通过运行代理或目标为协议提供支持,并且我们希望随着可用基础架构的增加,客户支持也会增加。 Cloudflare说。 " ODoH协议是一种改善用户隐私的实用方法,旨在在不影响Internet上的性能和用户体验的情况下,提高加密DNS协议的整体采用率。
10月,Cloudflare首次推出了API Shield,这是一项使用“拒绝全部”的免费服务。除非提供适当的加密证书和密钥,否则设置将拒绝API服务器上的传入连接。
有小费吗? 通过WhatsApp安全地联系| 信号在+447713 025 499或在Keybase:charlie0以上