Cloudflare en SURF lanceren Oblivious DNS over HTTPS

[Captain Kirk]

Cloudflare, het Nederlandse SURF en verschillende andere partners hebben vandaag Oblivious DNS over HTTPS (ODoH) gelanceerd. ODoH zorgt ervoor dat dns-providers niet kunnen zien welk dns-verzoek bij een bepaald ip-adres hoort, wat de privacy van gebruikers ten goede moet komen.

Op dit moment zijn dns-verzoeken van internetgebruikers, waarin staat welk domein ze willen opvragen, nagenoeg altijd onversleuteld. Zo kunnen derden zien welke websites iemand bezoekt of de dns-informatie aanpassen. Om dit te voorkomen werd DNS over HTTPS (DoH) bedacht. DoH versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen.

DoH moet echter wel door de dns-provider van de gebruiker worden ondersteund. Op dit moment zijn er slechts een paar publieke DoH-providers. Hierdoor bestaat het risico dat één partij heel veel inzicht in het dns-verkeer van gebruikers krijgt. Om dit probleem te tackelen bedachten engineers van Apple, Cloudflare en Fastly Oblivious DNS over HTTPS.

ODoH versleutelt het dns-verzoek en laat het via een proxyserver lopen. Deze proxyserver, die losstaat van de dns-server, fungeert als tussenpersoon tussen de internetgebruiker en de website die hij wil bezoeken. Doordat het dns-verzoek is versleuteld kan de proxyserver de inhoud niet zien. De proxyserver voorkomt vervolgens weer dat de dns-server het ip-adres van de gebruiker ziet.

"De combinatie van deze twee onderdelen garandeert dat alleen de gebruiker op hetzelfde moment toegang tot zowel de dns-berichten als zijn eigen ip-adres heeft", aldus Tanya Verma van Cloudflare in een blogposting. ODoH heeft volgens Verma ook nauwelijks impact op de snelheid waarmee de dns-verzoeken worden verwerkt.

Om ODoH goed te laten werken is het nodig dat de proxyserver die het dns-verzoek naar de dns-server doorstuurt, door een andere partij wordt beheerd dan de dns-provider. Hiervoor werkt Cloudflare samen met verschillende proxypartners, te weten PCCW, SURF en Equinix. ODoH is inmiddels te gebruiken met de 1.1.1.1-dns-server van Cloudflare zelf. Daarnaast heeft Cloudflare de ODoH-specificatie aan de Internet Engineering Task Force (IETF) voorgelegd, in de hoop er een internetstandaard van te maken.

 

bron: https://www.security.nl