网络服务商Cloudflare与苹果联合表示,他们开发了一个新的DNS标准,称为Oblivious DNS over HTTPS (ODoH),这个新标准的目的,是为改进目前的DoH的缺点,提供用户更好的隐私保护,避免ISP或DNS解析企业窥探用户隐私。
要了解这个新协议,我们需要先了解一下DNS是如何工作,以及Cloudflare他们又在这之上添加了什么。
网络上每一个计算机、每一个网站,都有自己的一个IP地址(如207.241.224.2)。不过,因为IP地址很难记,所以就有了.com等的域名名称(如archive.org)出现。而DNS就是一种索引转介的服务器,让你输入域名名称的时候,通过DNS服务器转换成IP地址,然后帮你连到正确的IP地址上。 (在这个过程中其实还有更多的步骤,但这个基本流程是我们需要了解ODoH的全部内容。)
对于担心隐私问题的人来说,看到这个流程的原理,可能马上就会发现,如果你拥有一台DNS服务器,那么,你就会知道每个通过你的服务器来连接到IP地址的计算机,他们正要去浏览的网站是什么。
而且,在现实世界中,当你向你的ISP申请网络的时候,在网络设置时,ISP多半都会给你他们家的DSN服务器的信息,让你填入网络设置时的DNS信息。所以如果ISP有心的话,他们就握有你许多重要的资料。
而Cloudflare与苹果提出的Oblivious DNS over HTTPS (ODoH),他们的解法是在你和DNS服务器之间,另外引入一个代理服务器。代理服务器将作为一个中间人,发送你的请求到DNS服务器,并提供其回应通过代理服务器再传给你。因此,就DNS服务器而言,他们看到的将永远都是这个代理服务器的信息,而不会知道到底是谁要求的资料。
根据Cloudflare表示,他们已经与电信盈科、Equinix与荷兰的非营利研究机构SURFnet等单位陆续开始合作,希望能够创建起一个ODoH完整的生态系统,形成一个新的标准。
另外,Cloudflare也表示根据他们的实测,在美、加与巴西测试了1.1.1.1、8.8.8.8及9.9.9.9等DNS服务的运行状况,种种测试都显示出,采用ODoH因为多了一个步骤,因此速度上会比传统的DoH了一点,不过实际上慢的速度不到千分之一秒,几乎可以忽略不计。
不过,这就带来了一个新的问题。这是否真的能保护你的隐私?
如果你希望让你的ISP看不到你所有的浏览信息,ODoH(或类似的技术,如DNSCrypt的匿名DNS)可能还不够。ISP仍然会对你使用的其它网络服务进行路由,因此仅仅是隐藏DNS可能效果有限。
事情的真相是,保持线上隐私并不是你可以通过仅仅一个新的设计,或是通过某种单一工具来实现的。想要拥有线上隐私,说实话,在现实世界中可能永远无法实现。不过,只少匿名化你的DNS请求,还是一个不错的起点。