来自Cloudflare,Apple和Fastly的工程师共同撰写了新的DNS标准提案,该标准将IP地址与查询分开,从而使互联网服务提供商更难知道用户访问了哪些网站。
新的互联网协议被称为“ Oblivious DNS-over-HTTPS(ODoH)”,可以帮助解决网络上最严重的隐私漏洞之一,Cloudflare已公开提供其源代码,以便任何人都可以试用ODoH甚至运行自己的ODoH服务。
当用户访问网站时,其浏览器会使用DNS解析器将网站的网址转换为机器可读的IP地址,以便定位网页在Internet上的位置。但是,此过程未加密,这意味着DNS查询以明文形式发送。更糟糕的是,除非您进行更改,否则ISP可能是您的DNS解析器,这意味着您的Internet提供商可能确切知道您访问了哪些网站。
为了保护DNS免受第三方的侵害,IETF通过HTTPS(DoH)上的DNS和TLS(DoT)上的DNS标准化了DNS加密。这两种协议都可以阻止查询被拦截,重定向或修改,但不能阻止DNS解析器查看您在线访问的网站。
ODoH是IETF的最新协议,它通过在客户端和DoH服务器之间添加一层公共密钥加密以及网络代理来工作。这两个添加的元素确保只有用户可以同时访问DNS消息和他们自己的IP地址。
由于DNS查询已加密,因此代理无法看到其中的内容,而成为阻止DNS解析器首先查看谁发送查询的障碍。通过使用ODoH,只有代理知道互联网用户的身份,而DNS解析器仅知道所请求的网站,从而保护了在线用户的隐私。
除了公开公开ODoH的源代码外,Cloudflare还与PCCW,SURF和Equinix等几个领先的代理合作伙伴一起推出了新协议。浏览器制造商也对使用该新协议感兴趣,Firefox的CTO Eric Rescorla在博客中解释说,它将很快在其浏览器中可用,并表示:
“不可忽视的DoH是安全DNS生态系统的重要补充。我们很高兴看到它开始起飞,并期待在Firefox中进行试验。”
改善隐私性是引入ODoH的主要目标,但是新协议还将阻止ISP跟踪客户并将其浏览历史出售给广告商。