Cloudflare ve Apple şirketininin mühendisleri, yeni bir internet protokolü üzerinde çalıştıklarını açıkladılar. Bu protokol, internet gizliliğindeki (mahremiyet) en büyük boşluklardan birini düzeltmeyi hedefliyor. Oblivious DNS-over-HTTPS veya kısaca ODoH olarak adlandırılan bu yeni protokol, internet sağlayıcılarının, kullanıcılarının hangi web sitelerini ziyaret ettiğini bilmesini çok daha zor hale getiriyor .
Bir web sitesini her ziyaret ettiğinizde, tarayıcınız web sayfasının internette nerede olduğunu bulmak için web adreslerini makine tarafından okunabilir IP adreslerine dönüştürmek için bir DNS çözümleyici kullanır. Ancak bu işlem şifrelenmez, yani bir web sitesini her yüklediğinizde DNS sorgusu açık olarak gönderilir. Bu, DNS çözümleyicinin hangi web sitelerini ziyaret ettiğinizi gösterdiği ve servis sağlayıcınızın da bunu bildiği anlamına gelir.
HTTPS üzerinden DNS (veya DoH) gibi son gelişmeler , DNS sorgularına şifreleme ekleyerek saldırganların DNS sorgularını ele geçirmesini ve kurbanları ziyaret etmek istediğiniz gerçek web sitesi yerine kötü amaçlı web sitelerine yönlendirmesini zorlaştırdı. Ancak bu yine de DNS çözümleyicilerinin hangi web sitesini ziyaret etmeye çalıştığınızı görmesini engellemiyor.
DNS sorgularını internet kullanıcısından ayıran ve DNS çözümleyicisinin hangi siteleri ziyaret ettiğinizi bilmesini engelleyen ODoH Princeton üniversitesindeki bir çalışmaya dayanıyor [2]. İşleyişi şöyle : ODoH, DNS sorgusunun etrafına bir şifreleme katmanı sarar ve bunu internet kullanıcısı ile ziyaret etmek istedikleri web sitesi arasında bir geçiş görevi gören bir proxy sunucusundan geçirir. DNS sorgusu şifrelendiğinden, proxy içeride ne olduğunu göremez, ancak DNS çözümleyicisinin sorguyu kimin gönderdiğini görmesini engellemek için bir kalkan görevi görür.
Cloudflare’nin araştırma başkanı Nick Sullivan, “ODoH’un yapması gereken, sorguyu kimin yaptığı ve sorgunun ne olduğu hakkındaki bilgileri ayırmak” dedi. Diğer bir deyişle ODoH, internet kullanıcısının kimliğini yalnızca proxy’nin bilmesini ve DNS çözümleyicisinin yalnızca talep edilen web sitesini bilmesini sağlıyor. Sullivan, ODoH üzerindeki sayfa yükleme sürelerinin DoH’den “pratik olarak ayırt edilemez” olduğunu ve tarama hızında önemli bir değişikliğe neden olmaması gerektiğini söyledi :
“ODoH’nin düzgün bir şekilde çalışmasının temel bileşenlerinden biri, proxy ve DNS çözümleyicisinin asla aynı varlık tarafından kontrol edilmediği için asla işbirliği yapmamasını sağlamaktır, aksi takdirde bilgi ayrımı bozulur”
Tabii ki bu, proxy çalıştırmayı teklif eden şirketlere güvenmek anlamına geliyor. Sullivan, birkaç ortak kuruluşun halihazırda proxy çalıştırdığını ve teknolojiyi erken benimseyenlerin Cloudflare’nin mevcut 1.1.1.1 DNS çözümleyicisi aracılığıyla teknolojiyi kullanmaya başlamasına izin verdiğini söyledi . Ancak çoğu ODoH, kullanılmadan önce tarayıcılara ve işletim sistemlerine yüklenene kadar beklemek zorunda kalacak.