網路服務商Cloudflare與蘋果聯合表示,他們開發了一個新的DNS標準,稱為Oblivious DNS over HTTPS (ODoH),這個新標準的目的,是為改進目前的DoH的缺點,提供使用者更好的隱私保護,避免ISP或DNS解析業者窺探使用者隱私。
要了解這個新協議,我們需要先了解一下DNS是如何工作,以及Cloudflare他們又在這之上添加了什麼。
網路上每一個電腦、每一個網站,都有自己的一個IP位址(如207.241.224.2)。不過,因為IP位址很難記,所以就有了.com等的網域名稱( 如archive.org)出現。而DNS就是一種索引轉介的伺服器,讓你輸入網域名稱的時候,透過DNS伺服器轉換成IP位址,然後幫你連到正確的IP位址上。(在這個過程中其實還有更多的步驟,但這個基本流程是我們需要了解ODoH的全部內容。)
對於擔心隱私問題的人來說,看到這個流程的原理,可能馬上就會發現,如果你擁有一臺DNS伺服器,那麼,你就會知道每個透過你的伺服器來連接到IP位址的電腦,他們正要去瀏覽的網站是什麼。
而且,在現實世界中,當你向你的ISP申請網路的時候,在網路設定時,ISP多半都會給你他們家的DSN伺服器的資訊,讓你填入網路設定時的DNS資訊。所以如果ISP有心的話,他們就握有你許多重要的資料。
而Cloudflare與蘋果提出的Oblivious DNS over HTTPS (ODoH),他們的解法是在你和DNS伺服器之間,另外引入一個代理伺服器。代理伺服器將作為一個中間人,發送你的請求到DNS伺服器,並提供其回應透過代理伺服器再傳給你。因此,就DNS伺服器而言,他們看到的將永遠都是這個代理伺服器的資訊,而不會知道到底是誰要求的資料。
根據Cloudflare表示,他們已經與電訊盈科、Equinix與荷蘭的非營利研究機構SURFnet等單位陸續開始合作,希望能夠建立起一個ODoH完整的生態系,形成一個新的標準。
另外,Cloudflare也表示根據他們的實測,在美、加與巴西測試了1.1.1.1、8.8.8.8及9.9.9.9等DNS服務的運作狀況,種種測試都顯示出,採用ODoH因為多了一個步驟,因此速度上會比傳統的DoH了一點,不過實際上慢的速度不到千分之一秒,幾乎可以忽略不計。
ODoH真能保護你的隱私?
不過,這就帶來了一個新的問題。這是否真的能保護你的隱私?
如果你希望讓你的ISP看不到你所有的瀏覽資訊,ODoH(或類似的技術,如DNSCrypt的匿名DNS)可能還不夠。ISP仍然會對你使用的其它網路服務進行路由,因此僅僅是隱藏DNS可能效果有限。
事情的真相是,保持線上隱私並不是你可以透過僅僅一個新的設計,或是透過某種單一工具來實現的。想要擁有線上隱私,說實話,在現實世界中可能永遠無法實現。不過,只少匿名化你的DNS請求,還是一個不錯的起點。