Cloudflare i Apple pracują nad nowym protokołem

Specjaliści firm Apple i Cloudflare pracują nad protokołem Oblivious DNS-over-HTTPS (ODoH), który ma chronć internautów przed śledzeniem ich sieciowej aktywności.

Jak wiadomo, mechanizm DNS jest jednym z najbardziej archaicznych elementów internetu. Zapytania kierowane do resolwera DNS są w zwykłych warunkach przesyłane w postaci jawnej, więc każdy, kto jest w stanie śledzić ruch na sieciowym łączu, może sprawdzić, które witryny odwiedza internauta.

Słabość tę częściowo eliminuje protokół DNS-over-HTTPS (DoH). Po zastosowaniu go zapytania DNS oraz odpowiedzi na nie są szyfrowane, a zatem do szpiegowania użytkownika łącza nie wystarczy już zwykłe śledzenie ruchu. Problemem jest jednak operator serwera DNS – ponieważ musi on odszyfrować zakodowane zapytanie, wie zarazem, kto i które witryny odwiedza.

Mechanizm Oblivious DNS-over-HTTPS ma zapewnić oddzielenie zapytania DNS od informacji o tym, który internauta je zadaje. Wykorzystywany jest w tym celu serwer proxy, który stanowi bufor między użytkownikiem sieci a operatorem resolwera DNS.

Internauta wysyła zaszyfrowane zapytanie DNS do serwera proxy; ten z kolei przekazuje je resolwerowi DNS, zachowując dla siebie informację o tym, kto pyta o adres IP witryny docelowej. Po otrzymaniu odpowiedzi serwer proxy przekazuje ją internaucie.

Ponieważ zapytanie DNS jest zaszyfrowane, operator serwera proxy nie wie, którą witrynę chce odwiedzić internauta. Z kolei operator resolwera DNS potrafi odszyfrować zapytanie, ale nie jest w stanie określić ko je zadał – tę informację zna dla odmiany właściciel serwera proxy. Innymi słowy, na poziomie serwera proxy wiadomo kto pyta, ale nie wiadomo o co. W przypadku resolwera DNS sytuacja się odwraca: znana jest treść pytania, ale jego autor nie.

Oczywiście cały mechanizm sprawdza się tylko wtedy, gdy nadzór nad serwerem proxy sprawuje ktoś, kto nie nadzoruje współpracującego z nim resolwera DNS.

Cloudflare udostępnia już z kilku firmom i organizacjom partnerskim własny resolwer DNS (1.1.1.1), który współpracuje z zewnętrznymi serwerami proxy wchodzącymi w skład systemu ODoH. W efekcie pierwsi internauci mogą już korzystać z ulepszonego mechanizmu zapewniającego poufność komunikacji.

Większość użytkowników sieci jednak musi zaczekać na moment, w którym ODoH zostanie wbudowany w systemy operacyjne i przeglądarki WWW. Nastąpi to dopiero wtedy, gdy nowy protokół uzyska certyfikat organizacji Internet Engineering Task Force.