• IT-Karriere:
  • Services:

Oblivious DoH: Cloudflare will DNS-Anfragen von IP-Adressen trennen

Mit einer Variante von DoH sollen DNS-Server die IP-Adressen der Clients nicht mehr sehen. Eine Analyse soll damit verhindert werden.

Artikel veröffentlicht am ,
Verschlüsselung und ein Proxy sollen eine Datenüberwachung bei ODoH verhindern.
Verschlüsselung und ein Proxy sollen eine Datenüberwachung bei ODoH verhindern. (Bild: Pixabay)

In einer großangelegten Kooperation versuchen die Netzwerkspezialisten von Cloudflare und Fastly zusammen mit Apple und weiteren Partnern einem der größten Kritikpunkte an dem Standard DNS über HTTPS (DoH) zu begegnen: dessen vermeintlicher Zentralisierung. Denn dadurch werde es für DNS-Anbieter wie Cloudflare theoretisch möglich, eine Vielzahl von Client-IP-Adressen zu sammeln und das Surfverhalten zu überwachen. Oblivious DoH soll das verhindern, wie Cloudflare ankündigt.

Stellenmarkt
  1. Bayerisches Landesamt für Gesundheit und Lebensmittelsicherheit, Erlangen, Oberschleißheim bei München
  2. BARMER, Wuppertal

Die Idee ist dabei im Grunde ganz einfach: Die IP-Adresse, von der eine Anfrage gesendet wird, soll den eigentlichen DNS-Server nie erreichen. Möglich machen soll das ein Proxy-Server, der in der Mitte der Verbindung liegt und die Anfrage weiterleitet. Der DNS-Server sieht so nur die IP-Adresse des Proxy-Servers. Werden die Systeme getrennt betrieben, also DNS-Server und Proxy, müssten beide Server unabhängig voneinander kompromittiert werden, um die IP-Adressen der Clients mit DNS-Anfragen zu verknüpfen.

Damit der zwischengeschaltete Proxy-Server die DNS-Anfragen nicht mitlesen kann, was ja durch DoH eigentlich verhindert werden soll, sollen diese verschlüsselt werden. Die öffentlichen Schlüssel des DNS-Servers sollen dabei als Teil eines HTTPS Resource Records per DNS selbst übertragen werden. Mit Hilfe von DNSSEC kann dann auch die Authentizität der Schlüssel gewährleistet werden.

In der Ankündigung von Cloudflare heißt es dazu: "Die gesamte Kommunikation ist authentifiziert und vertraulich, da diese DNS-Nachrichten Ende-zu-Ende-verschlüsselt sind, obwohl sie über zwei separate HTTPS-Verbindungen (Client-Proxy und Proxy-Ziel) übertragen werden. Die Nachricht, die dem Proxy ansonsten als Klartext angezeigt würde, ist tatsächlich ein verschlüsseltes Gewirr."

Die Arbeiten an ODoH stehen bereits als Entwurf bei der IETF bereit und sollen dort als Standard spezifiziert werden. Unabhängig davon unterstützt Cloudflare die Technik bereits auf seinen DNS-Servern und einige Anbieter stellen bereits entsprechende Proxys bereit. Darüber hinaus gibt es Clients in Rust und Go von Cloudflare, um die Technik zu testen. Der Browser-Hersteller Mozilla hat außerdem bereits angekündigt, ebenfalls mit ODoH experimentieren zu wollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 189€ (Bestpreis)
  2. 819€ (Ebay Plus - Bestpreis)
  3. (u. a. Galaxy S21 mit Galaxy Buds Pro In-Ears und Galaxy Smart Tag für 849€)
  4. 189,99€ (Bestpreis)

johnripper 10. Dez 2020 / Themenstart

Verstehe den Mehrwert nicht. Ich könnte doch einfach das Logging ausschalten und fertig.

johnripper 10. Dez 2020 / Themenstart

Na man hat jetzt rausgefunden, dass man sich mit DoH ein Problem geschaffen hat, welches...

MarcusK 09. Dez 2020 / Themenstart

aber dann bitte mit XML und nicht so etwas sparsames wie JSON

Kommentieren


Folgen Sie uns
       


Knights of the Old Republic (2003) - Golem retro_

Diverse Auszeichnungen zum Spiel des Jahres, hohe Verkaufszahlen und Begeisterung nicht nur unter reinen Star-Wars-Anhängern - wir spielen Kotor im Golem retro_.

Knights of the Old Republic (2003) - Golem retro_ Video aufrufen
Neue Fire-TV-Oberfläche im Test: Noch mehr Nachteile für Prime-Video-Kunden
Neue Fire-TV-Oberfläche im Test
Noch mehr Nachteile für Prime-Video-Kunden

Eigentlich wollte Amazon die Oberfläche von Fire-TV-Geräten verbessern - das ist gründlich misslungen.
Ein Test von Ingo Pakalski

  1. Media Markt und Saturn Erster Smart-TV der Ok-Eigenmarke mit Fire-TV-Oberfläche
  2. Amazon Fire TV Cube wechselt TV-Programm auf Zuruf

Boeing 737 Max: Neustart mit Hindernissen
Boeing 737 Max
Neustart mit Hindernissen

Die Boeing 737 ist nach dem Flugzeugabsturz in Indonesien wieder in den Schlagzeilen. Die Version Max darf seit Dezember wieder fliegen - doch Kritiker halten die Verbesserungen für unzureichend.
Ein Bericht von Friedrich List

  1. Flugzeug Boeing erhält den letzten Auftrag für den Bau der 747
  2. Boeing 737 Max Boeing-Strafverfahren gegen hohe Geldstrafe eingestellt
  3. Zunum Luftfahrt-Startup verklagt Boeing

CPU und GPU vereint: Wie die Fusion zu AMDs Zukunft wurde
CPU und GPU vereint
Wie die Fusion zu AMDs Zukunft wurde

Mit Lauchgemüse und Katzen-Kernen zu Playstation und Xbox: Wir blicken auf ein Jahrzehnt an Accelerated Processing Units (APUs) zurück.
Ein Bericht von Marc Sauter


      •  /