Samen met bedrijven als Apple en Fastly ontwikkelt Cloudflare een techniek waarmee het onmogelijk wordt om DNS-lookups aan specifieke gebruikers te koppelen. Momenteel is dit nog wel mogelijk.
Het concept probeert de privacyproblemen van DNS op te lossen. Normaal gesproken worden DNS-lookups onversleuteld over het internet verzonden. Hierdoor is het voor elke tussenliggende partij mogelijk om te zien welke website een gebruiker bezoekt.
DoH en Dot
Met de introductie van DNS over HTTPS (DoH) en DNS over TLS (DoT) zijn de DNS-verzoeken wel versleuteld. Hierdoor kunnen tussenliggende partijen niet meer de verzoeken van gebruikers volgen, maar kunnen DNS-providers de verzoeken nog wel aan gebruikers koppelen. Ze krijgen immers een ip-adres en een verzoek binnen. DNS-providers zijn meestal de internetproviders van gebruikers, maar partijen als Google en Cloudflare hosten populaire alternatieven op specifiek de ip-adressen 8.8.8.8 en 1.1.1.1.
Oblivious DoH
Omdat niet iedereen hun DNS-providers deze informatie toevertrouwt, wil Cloudflare DNS verder anonimiseren. Daarom heeft het bedrijf Oblivious Doh (ODoH) bedacht. Bij deze techniek wordt er een proxyserver tussen de gebruiker en de DNS-server geplaatst. In een blogpost legt Cloudflare uit hoe het werkt.
Wanneer de gebruiker met ODoH een DNS-verzoek verstuurt, komt die eerst versleuteld aan bij de proxy. De proxy stuurt vervolgens het nog altijd versleutelde DNS-verzoek door naar een DNS-server, die hierbij nu niet het ip-adres van de gebruiker, maar dat van de proxy te zien krijgt. De DNS-server versleutelt het antwoord en stuurt dat via de proxy weer terug naar de gebruiker.
Het resultaat van deze techniek is dat de proxy alleen te zien krijgt dat een specifiek ip-adres DNS-lookups aanvraagt, maar niet naar welke websites hij specifiek op zoek is. De DNS-server krijgt dat wel te zien, maar kan niet achterhalen van welke gebruiker de lookups komen. Hierdoor wordt het in theorie onmogelijk om een gebruiker aan specifieke DNS-verzoeken te koppelen, mits de proxy en DNS-provider geen data met elkaar uitwisselen.
Partners
Cloudflare heeft al een aantal partners aangekondigd die willen dienen als proxy’s voor het ODoH-systeem. Dit zijn PCCW, SURF en Equinix. ODoH is open source en per direct beschikbaar voor gebruikers om mee te experimenteren.
Tip: Cloudflare en Internet Archive maken content altijd bereikbaar
4 uur geleden
Expert bijdrage
