Cloudflare和苹果公司的工程师共同宣布他们已经开发了一个新的互联网协议,这被称为Oblivious DNS-over-HTTPS,简称ODoH, 新的协议可以使互联网供应商更难知道你访问了哪些网站。想要知道这一概念,首先要了解一下互联网是如何工作的。
每次人们访问一个网站时,用户端浏览器都会使用DNS解析器将网页地址转换为机器可读的IP地址,以定位网页在互联网上的位置。但这个过程并没有加密,这意味着每次加载网站时,DNS查询都是在明处发送的。这意味着DNS解析器--可能是你的ISP,也就是提供服务的一方就知道你访问了哪些网站。这对你的隐私不是很好,尤其是你的互联网供应商还可以将你的浏览历史出售给广告商。
最近的发展,如DNS-over-HTTPS(或DoH)已经增加了DNS查询的加密,使攻击者更难劫持DNS查询,并将受害者指向恶意网站,而不是你想访问的真实网站。但这仍然不能阻止DNS解析器看到你试图访问哪个网站。
ODoH协议的基本原理是,它将DNS查询与互联网用户解除了关联,从而防止DNS解析器知道你访问了哪些网站。ODoH在DNS查询周围包裹了一层加密,并通过代理服务器,作为互联网用户和他们想访问的网站之间的中介。因为DNS查询是加密的,所以代理服务器无法看到里面的内容,但可以作为一个屏蔽,防止DNS解析器看到谁一开始就发送了查询。
"ODoH要做的是将谁发出查询的信息和查询的内容分开。"Cloudflare的研究主管Nick Sullivan说。
换句话说,ODoH确保只有代理知道互联网用户的身份,而DNS解析器只知道被请求的网站。Sullivan表示,ODoH上的页面加载时间与DoH "几乎无法区分",不会对浏览速度造成任何显著变化。
ODoH正常工作的一个关键组成部分是确保代理和DNS解析器永远不会"串通",即两者永远不会由同一个实体控制,否则"要素的分离就会被打破,"Sullivan说,这意味着必须依靠提供运行代理的公司。
一些合作机构已经在运行代理,允许早期采用者通过Cloudflare现有的1.1.1.1 DNS解析器开始使用该技术。但大多数人将不得不等到ODoH协议被内置到浏览器和操作系统中才能使用。这可能需要几个月或几年的时间,这取决于ODoH被互联网工程任务组认证为标准所需的时间。