Oblivious DoH: Cloudflare will DNS-Anfragen von IP-Adressen trennen

In einer großangelegten Kooperation versuchen die Netzwerkspezialisten von Cloudflare und Fastly zusammen mit Apple und weiteren Partnern einem der größten Kritikpunkte an dem Standard DNS über HTTPS (DoH) zu begegnen: dessen vermeintlicher Zentralisierung. Denn dadurch werde es für DNS-Anbieter wie Cloudflare theoretisch möglich, eine Vielzahl von Client-IP-Adressen zu sammeln und das Surfverhalten zu überwachen. Oblivious DoH soll das verhindern, wie Cloudflare ankündigt.

Die Idee ist dabei im Grunde ganz einfach: Die IP-Adresse, von der eine Anfrage gesendet wird, soll den eigentlichen DNS-Server nie erreichen. Möglich machen soll das ein Proxy-Server, der in der Mitte der Verbindung liegt und die Anfrage weiterleitet. Der DNS-Server sieht so nur die IP-Adresse des Proxy-Servers. Werden die Systeme getrennt betrieben, also DNS-Server und Proxy, müssten beide Server unabhängig voneinander kompromittiert werden, um die IP-Adressen der Clients mit DNS-Anfragen zu verknüpfen.

Damit der zwischengeschaltete Proxy-Server die DNS-Anfragen nicht mitlesen kann, was ja durch DoH eigentlich verhindert werden soll, sollen diese verschlüsselt werden. Die öffentlichen Schlüssel des DNS-Servers sollen dabei als Teil eines HTTPS Resource Records per DNS selbst übertragen werden. Mit Hilfe von DNSSEC kann dann auch die Authentizität der Schlüssel gewährleistet werden.

In der Ankündigung von Cloudflare heißt es dazu: "Die gesamte Kommunikation ist authentifiziert und vertraulich, da diese DNS-Nachrichten Ende-zu-Ende-verschlüsselt sind, obwohl sie über zwei separate HTTPS-Verbindungen (Client-Proxy und Proxy-Ziel) übertragen werden. Die Nachricht, die dem Proxy ansonsten als Klartext angezeigt würde, ist tatsächlich ein verschlüsseltes Gewirr."

Die Arbeiten an ODoH stehen bereits als Entwurf bei der IETF bereit und sollen dort als Standard spezifiziert werden. Unabhängig davon unterstützt Cloudflare die Technik bereits auf seinen DNS-Servern und einige Anbieter stellen bereits entsprechende Proxys bereit. Darüber hinaus gibt es Clients in Rust und Go von Cloudflare, um die Technik zu testen. Der Browser-Hersteller Mozilla hat außerdem bereits angekündigt, ebenfalls mit ODoH experimentieren zu wollen.