Cloudflare、Apple和Fastly共同设计并提出了一个新的DNS标准,以解决与DNS相关的持续隐私问题。
周二,Cloudflare的Tanya Verma和Sudheesh Singanamalla宣布支持对于将IP地址与查询分开的新标准,,这是一种希望,将屏蔽请求,并使用户更难在线跟踪。
域名系统(DNS)多年来一直支持在线架构,但其基本形式仍然是不加密地发送查询。因此,任何人都可以通过域名解析系统(DNS)来保护域名和域名系统(DNS)的网络地址,降低查询被拦截或修改的风险——例如,通过防止攻击者将用户从合法域重定向到恶意地址。第三方,如ISP,另外,当启用DoH时,更难跟踪网站访问量。
DoH部署即将在
普林斯顿大学和芝加哥大学进行的研究,“不经意的DNS:DNS查询的实际隐私,,”(.PDF),由Paul Schmitt、Anne Edmundson、Allison Mankin和Nick Feamster于2019年出版,提供了新标准提案的灵感。
ODoH的总体目标是将客户端代理与解析程序分离。在客户机和DoH服务器之间插入一个网络代理——比如Cloudflare的1.1.1.1的公共DNS解析程序——这种加密和公钥加密的结合“保证只有用户能够同时访问DNS消息和他们自己的IP地址,“根据Cloudflare。
“目标通过代理解密客户端加密的查询,”Cloudflare解释道类似地,目标加密响应并将其返回给代理。标准规定目标可能是也可能不是分解器。代理就像代理应该做的那样,在客户端和目标之间转发消息。客户端的行为与在DNS和DoH中的行为相同,但不同之处在于加密目标的查询和解密目标的响应。任何选择这样做的客户端都可以指定代理和所选目标。“
因此,ODoH应确保只有目标可以同时查看查询和代理的IP地址;读取查询的内容或生成响应,而且代理无法查看DNS消息。
Cloudflare说,只要代理和目标服务器之间没有“共谋”或妥协,攻击者应该不能干扰连接。
Cloudflare目前正在与IETF合作制定标准,并计划将ODoH添加到现有的存根解析程序中,包括云闪。值得注意的是,ODoH仍在开发中,公司目前正在测试不同代理、目标的性能,和延迟级别。
AnIETF的ODoH草案已经发布。
代码的测试客户机已经提供给开源社区,以鼓励对提议的标准进行实验。厂商可能需要数年时间才能支持新的DNS标准,但Firefox的首席技术官Eric Rescorla已经表示,Firefox将“试验”ODoH。
技术共和国:WatchGuard Q3网络安全报告发现,通过TLS传输的网络攻击和恶意软件激增。
“我们希望更多的运营商加入我们,通过运行代理或目标,为协议提供支持,我们希望客户的支持会随着可用基础设施的增加而增加Cloudflare说:“这也会减轻压力。”ODoH协议是一种提高用户隐私的实用方法,旨在提高加密DNS协议的整体采用率,同时不影响互联网的性能和用户体验。“
在10月份,Cloudflare首次推出API Shield,一种免费服务,使用“拒绝所有”设置来拒绝API服务器上的传入连接,除非提供了合适的加密证书和密钥。
有什么建议吗?通过WhatsApp |信号安全联系,电话+447713 025 499,或访问Keybase:charlie0
