Cloudflare，Apple和其他公司支持使Internet更加私有的新方法

在过去的三十多年中，互联网最重要的基础已经对每天使用该互联网的数十亿人构成了隐私和安全威胁。现在，Cloudflare，Apple和内容交付网络Fastly引入了一种新颖的方法来修复此问题，该技术可以防止服务提供商和网络窥探看到最终用户访问或向其发送电子邮件的地址。

这三家公司的工程师都设计了Oblivious DNS，这是对当前域名系统的重大更改，该域名系统将人类友好的域名转换为计算机在Internet上查找其他计算机所需的IP地址。两家公司正在与Internet工程任务组合作，希望它将成为行业标准。 Oblivious DNS的缩写，称为ODoH，是对DNS的单独改进，称为DNS over HTTPS，该改进仍处于采用的早期阶段。

当有人访问arstechnica.com或任何其他网站时，其浏览器必须首先获取托管服务器使用的IP地址（目前为3.128.236.93或52.14.190.83）。为此，浏览器联系一个DNS解析器，该解析器通常由ISP或Google的8.8.8.8或Cloudflare的1.1.1.1之类的服务来操作。但是，从一开始，DNS就遭受了两个关键缺陷。

首先，DNS查询及其返回的响应未加密。这样一来，任何在职人员都可以查看连接以监视用户正在访问的站点。更糟糕的是，具有此功能的人也可能会篡改响应，以便用户访问伪装为arstechnica.com的网站，而不是您现在正在阅读的网站。

为了解决此问题，Cloudflare和其他地方的工程师开发了HTTPS或DoH上的DNS，以及TLS或DoT上的DNS。两种协议都对DNS查找进行加密，从而使发送方和接收方之间的人们无法查看或篡改流量。与DoH和DoT一样有希望的是，许多人仍然对此持怀疑态度，主要是因为只有少数提供商提供了它。如此之小的池使这些提供商能够记录潜在的数十亿人的互联网使用情况。

这将我们带到DNS的第二个主要缺点。即使在执行DoH或DoT时，加密也不会阻止DNS提供程序不仅查看查找请求，而且看不到发出请求的计算机的IP地址。这使提供者可以建立地址背后人员的全面档案。如前所述，当DoH或DoT将提供商的数量减少到很少时，隐私风险仍然更大。

ODoH旨在解决第二个缺陷。新兴协议使用加密，并在最终用户和DoH服务器之间放置一个网络代理，以确保只有该用户才能访问DNS请求信息以及发送和接收它的IP地址。 Cloudflare将最终用户称为客户端以及由ISP或其他提供商运营的DNS解析器。下面是一个图表。

Cloudflare研究人员Tanya Verma和Sudheesh Singanamalla在介绍Obdovious DoH的博客文章中写道：

整个过程从客户端使用HPKE加密其对目标的查询开始。客户端通过DNS获取目标的公钥，并将其捆绑到HTTPS资源记录中，并由DNSSEC保护。当此密钥的TTL过期时，客户会根据需要请求密钥的新副本（就像A / AAAA记录的TTL过期时一样）。使用目标的DNSSEC验证的公共密钥可确保只有目标目标可以解密查询并加密响应（答案）。

客户端通过HTTPS连接将这些加密的查询传输到代理。收到后，代理将查询转发到指定目标。然后目标解密该查询，通过将查询发送到递归解析器（例如1.1.1.1）来生成响应，然后将响应加密到客户端。来自客户端的加密查询包含封装的密钥材料，目标可从中获得响应加密对称密钥。

然后将该响应发送回代理，然后转发给客户端。尽管这些DNS消息是通过两个单独的HTTPS连接（客户端代理和代理目标）传输的，但所有这些通信都是经过端到端加密的，因此所有通信都经过身份验证和保密。否则在代理中显示为纯文本的消息实际上是加密的乱码。

该帖子说，工程师们仍在衡量添加代理和加密的性能成本。但是，早期结果似乎很有希望。在一项研究中，在第99个百分位数处，代理的DoH查询/响应与其ODoH对应对象之间的额外开销不到1毫秒。 Cloudflare在其帖子中提供了有关ODoH性能的更详细的讨论。

到目前为止，ODoH仍在进行中。在Cloudflare的大力支持下，Apple和Fastly的贡献以及Firefox和其他公司的关注使ODoH值得认真对待。同时，由于缺少Google，Microsoft和其他主要参与者，这表明它还有很长的路要走。

显然，DNS仍然非常薄弱。到2020年，互联网最基本的机制之一并未得到普遍加密，这简直是疯狂。批评者出于担心将DoH和DoT交易于安全性的考虑而抵制。如果ODoH可以拒绝反对者，并且在此过程中不会破坏互联网，那将是值得的。