为什么Apple，Cloudflare并迅速提出新的以隐私为中心的DNS标准，称为“ Oblivious DoH”

Cloudflare，Apple和Fastly共同设计并提出了新的DNS标准，以解决与DNS相关的持续隐私问题。

周二，Cloudflare的Tanya Verma和Sudheesh Singanamalla宣布了对新标准的支持，该标准将IP地址与查询分开，希望这一措施能够掩盖请求，使用户难以在线跟踪。

域名系统（DNS）已基本支持在线体系结构，但其基本形式仍在不加密的情况下发送查询。因此，潜伏在设备和DNS解析器之间的网络路径上的任何人都可以查看包含主机名（或请求的网站地址）和IP地址的查询。

经过设计的HTTPS（DoH）和TLS（DoT）上的DNS通过Internet工程任务组（IETF）标准化的DNS加密来保护这些路径，从而降低了查询被拦截或修改的风险-例如，通过防止攻击者将用户从合法域重定向到恶意地址。启用了DoH的第三方（例如ISP）也发现跟踪网站访问更加困难。

尽管部署计划仍在进行中，但许多主要浏览器提供商仍在进行DoH部署。现在，Cloudflare与合作伙伴PCCW Global，Surf和Equinix共同提出了基于HTTPS（ODoH）的DNS提议，以通过添加额外的公共密钥加密层和网络代理来改进这些模型。

普林斯顿大学和芝加哥大学进行的研究，＆＃34;遗忘的DNS：DNS查询的实用隐私，＆＃34; （.PDF）由Paul Schmitt，Anne Edmundson，Allison Mankin和Nick Feamster于2019年发布，为新的标准提案提供了灵感。

ODoH的总体目标是使客户代理与解析器脱钩。在客户端和DoH服务器（例如Cloudflare的1.1.1.1的公用DNS解析器）之间插入了网络代理，并且结合使用了此代理和公用密钥加密，以确保仅用户可以同时访问DNS消息和自己的IP地址，＆＃34;根据Cloudflare的说法。

＆＃34;目标通过代理解密由客户端加密的查询，＆＃34; Cloudflare解释了。 ＆＃34;类似地，目标对响应进行加密并将其返回给代理。该标准说目标可以是也可以不是解析器。代理就像代理应该做的那样工作，因为它在客户端和目标之间转发消息。客户端的行为与在DNS和DoH中的行为相同，但是在加密目标查询和解密目标响应方面有所不同。选择这样做的任何客户端都可以指定代理和选择的目标。＆＃34;

因此，ODoH应该确保只有目标用户才能查看查询和代理的IP地址；读取查询的内容或产生响应，并且代理对DNS消息不可见。

Cloudflare表示只要没有＆collusion＆＃34;或代理与目标服务器之间的妥协，攻击者应该不会干扰连接。

Cloudflare目前正与IETF合作制定该标准，并计划将ODoH添加到现有的存根解析器中，包括cloudflared。重要的是要注意，ODoH仍在开发中，两家公司目前正在跨不同的代理，目标和延迟级别测试性能。

已将代码的测试客户提供给开源社区，以鼓励尝试使用建议的标准。厂商可能需要数年才能支持新的DNS标准，但是Firefox的CTO Eric Rescorla已经表示Firefox将进行实验。与ODoH。

＆＃34;我们希望有更多的运营商加入到我们的行列中，并通过运行代理或目标为协议提供支持，并且我们希望随着可用基础架构的增加，客户支持也会增加。 Cloudflare说。 ＆＃34; ODoH协议是一种改善用户隐私的实用方法，旨在在不影响Internet上的性能和用户体验的情况下，提高加密DNS协议的整体采用率。

10月，Cloudflare首次推出了API Shield，这是一项使用“拒绝全部”的免费服务。除非提供适当的加密证书和密钥，否则设置将拒绝API服务器上的传入连接。

有小费吗？ 通过WhatsApp安全地联系| 信号在+447713 025 499或在Keybase：charlie0以上