Cloudflare, Apple и Fastly объявили о запуске нового стандарта DNS. Он получил название Oblivious DNS over HTTPS (ODoH) и предназначен для того, чтобы отделять IP-адреса от запросов.

Нехватка конфиденциальности

Главная задача нового протокола – повысить приватность для пользователей интернета. Обычная система доменных имен (DNS) представляет собой систему, сопоставляющую домен с IP-адресами и другими данными, необходимыми для установки соединения. Все запросы пересылаются в открытом виде и поэтому могут быть перехвачены третьим лицом, когда устройство обменивается информацией с сервером. Посторонний человек сможет увидеть имя хоста, его IP-адрес и другие сведения. 

Для защиты от подобных инцидентов созданы протоколы DNS over HTTPS (DoH) и DNS over TLS (DoT). Они защищают пользователя от перехвата, перенаправления или изменения запросов. Поддержка этих стандартов уже реализована в Firefox и iOS, но Cloudflare до сих пор остается одним из немногих провайдеров, предлагающих общедоступную услугу DoH/DoT.

Решение проблемы

Тем не менее, DNS over HTTPS все еще остается недостаточно безопасным протоколом, потому что DNS-преобразователь для перевода доменных имен в читаемый машиной IP-адрес все еще хранит данные о посещаемых ресурсах. ODoH устраняет и эту проблему безопасности: он дополнительно пересылает все запросы через прокси-сервер. Из-за шифрования прокси не может «прочитать» содержимое запроса и при этом скрывает конфиденциальную информацию от преобразователя. 

«ODoH предназначен для разделения информации о том, кто делает запрос, и о том, что это за запрос», – пояснил принцип работы протокола руководитель отдела исследований Cloudflare Ник Салливан.

Благодаря дополнительному уровню шифрования и сетевому прокси между клиентами и серверами DoH новый стандарт гарантирует, что только пользователь может одновременно знать и собственный IP-адрес, и содержимое DNS-запроса. Клиент может менять свои прокси в любое время. Поэтому злоумышленник может перехватить сообщение только в том случае, если скомпрометирован и прокси-сервер, и DNS-резолвер.

Перспективы разработки

Авторы нового протокола обещают, что он практически не повлияет на скорость работы интернета. По словам Салливана, использование ODoH практически не снижает скорость загрузки страниц веб-ресурса. 

Открытый исходный код стандарта написан на Rust, также есть версия на языке Go. Опробовать новый протокол можно уже сейчас – несколько партнеров Cloudflare предлагают подключить такую услугу. Но для массового внедрения технологии ODoH сперва необходимо получить сертификат, что может занять несколько месяцев или даже лет.