ODoH架構是在DoH上額外添增了兩個元件,一是獨立的端對端加密層,二是在客戶端與目標伺服器之間新增一個代理人,於是,客戶端傳送的是加密的網址查詢,先傳送到代理人,再傳送到目標伺服器,目標伺服器解密之後回傳使用者所要查詢的網站IP,同樣得先經過代理人,再傳送至客戶端。(圖片來源/CloudFlare)

提供內容遞送網路、DDoS緩解與DNS服務的Cloudflare,本周宣布已與蘋果及另一美國雲端運算服務供應商Fastly共同開發了新的DNS標準,此一新標準名為Oblivious DNS over HTTPS(ODoH),奠基在DoH之上,但額外提供使用者的隱私保護,避免ISP或DNS解析業者窺探使用者隱私。

DNS系統的作用是將使用者所輸入的網址轉換成該站的IP位址,傳統的DNS查詢是以明文遞送,為了避免遭到中間人攻擊,近來業者開始採用DNS over HTTPS(DoH)協定,加密查詢流量,然而,DoH出現了兩個隱憂,一是DNS的集中化可能招致單點故障,其次則是就算中間人看不到使用者的查詢內容,但DNS解析器依然能夠知道哪個使用者的IP查詢了什麼網站。

就在Google及Mozilla相繼於瀏覽器中導入DoH之後,亞太網路資訊中心(APNIC)即曾質疑,DNS通常是由網路的操作者所提供,例如ISP業者、電信業者、企業主或是邪惡的公開Wi-Fi,但DoH基本上只能阻止中間人攻擊,並無法阻止DNS伺服器供應商檢視、封鎖或竄改DNS資料。而ODoH即能解決此一顧慮。

ODoH架構是在DoH上額外添增了兩個元件,一是獨立的端對端加密層,二是在客戶端與目標伺服器之間新增一個代理人,於是,客戶端傳送的是加密的網址查詢,先傳送到代理人,再傳送到目標伺服器,目標伺服器解密之後回傳使用者所要查詢的網站IP,同樣得先經過代理人,再傳送至客戶端。

因此,DoH伺服器只會看到客戶端所查詢的內容與代理人的IP位址,代理人則完全看不見查詢或回傳內容,且只有指定的目標伺服器才能讀取與回應查詢。

為了建立ODoH生態體系,包括電訊盈科、美國電信業者Equinix與荷蘭的非營利研究機構SURFnet,都已成為此一新協定的合作夥伴。

另一方面,Cloudflare也測量了基於ODoH的DNS服務是否會影響效能,在美國、加拿大與巴西測試了1.1.1.1、8.8.8.8及9.9.9.9等DNS服務的運作狀況,顯示ODoH只比DoH慢了不到1毫秒(千分之一秒)。

除了Cloudflare旗下的1.1.1.1公共DNS查詢服務已支援ODoH之外,Cloudflare、蘋果及Fastly也已開源支援Rust、odoh-client-rs、Go及odoh-client-go的測試客戶端,而Firefox技術長Eric Rescorla也說,期待於Firefox中實驗ODoH。


熱門新聞

Advertisement