Oblivious DoH: Cloudflare will DNS-Anfragen von IP-Adressen trennen

Mit einer Variante von DoH sollen DNS-Server die IP-Adressen der Clients nicht mehr sehen. Eine Analyse soll damit verhindert werden.

Artikel veröffentlicht am ,
Verschlüsselung und ein Proxy sollen eine Datenüberwachung bei ODoH verhindern.
Verschlüsselung und ein Proxy sollen eine Datenüberwachung bei ODoH verhindern. (Bild: Pixabay)

In einer großangelegten Kooperation versuchen die Netzwerkspezialisten von Cloudflare und Fastly zusammen mit Apple und weiteren Partnern einem der größten Kritikpunkte an dem Standard DNS über HTTPS (DoH) zu begegnen: dessen vermeintlicher Zentralisierung. Denn dadurch werde es für DNS-Anbieter wie Cloudflare theoretisch möglich, eine Vielzahl von Client-IP-Adressen zu sammeln und das Surfverhalten zu überwachen. Oblivious DoH soll das verhindern, wie Cloudflare ankündigt.

Stellenmarkt
  1. Anwendungsbetreuer ITWO SITE (m/w/d)
    Wesemann GmbH, Syke
  2. Stellvertretender Teamleiter (m/w/d) Fertigungsplanung / Supply Chain und Projekte
    SKF GmbH, Mühlheim an der Donau
Detailsuche

Die Idee ist dabei im Grunde ganz einfach: Die IP-Adresse, von der eine Anfrage gesendet wird, soll den eigentlichen DNS-Server nie erreichen. Möglich machen soll das ein Proxy-Server, der in der Mitte der Verbindung liegt und die Anfrage weiterleitet. Der DNS-Server sieht so nur die IP-Adresse des Proxy-Servers. Werden die Systeme getrennt betrieben, also DNS-Server und Proxy, müssten beide Server unabhängig voneinander kompromittiert werden, um die IP-Adressen der Clients mit DNS-Anfragen zu verknüpfen.

Damit der zwischengeschaltete Proxy-Server die DNS-Anfragen nicht mitlesen kann, was ja durch DoH eigentlich verhindert werden soll, sollen diese verschlüsselt werden. Die öffentlichen Schlüssel des DNS-Servers sollen dabei als Teil eines HTTPS Resource Records per DNS selbst übertragen werden. Mit Hilfe von DNSSEC kann dann auch die Authentizität der Schlüssel gewährleistet werden.

In der Ankündigung von Cloudflare heißt es dazu: "Die gesamte Kommunikation ist authentifiziert und vertraulich, da diese DNS-Nachrichten Ende-zu-Ende-verschlüsselt sind, obwohl sie über zwei separate HTTPS-Verbindungen (Client-Proxy und Proxy-Ziel) übertragen werden. Die Nachricht, die dem Proxy ansonsten als Klartext angezeigt würde, ist tatsächlich ein verschlüsseltes Gewirr."

Golem Akademie
  1. Terraform mit AWS
    14./15. September 2021, online
  2. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
Weitere IT-Trainings

Die Arbeiten an ODoH stehen bereits als Entwurf bei der IETF bereit und sollen dort als Standard spezifiziert werden. Unabhängig davon unterstützt Cloudflare die Technik bereits auf seinen DNS-Servern und einige Anbieter stellen bereits entsprechende Proxys bereit. Darüber hinaus gibt es Clients in Rust und Go von Cloudflare, um die Technik zu testen. Der Browser-Hersteller Mozilla hat außerdem bereits angekündigt, ebenfalls mit ODoH experimentieren zu wollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Trek
Playmobil bringt 1 Meter langes Enterprise-Spielset

Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
Artikel
  1. Oberleitungs-Lkw: Herr Gramkow will möglichst weit elektrisch fahren
    Oberleitungs-Lkw
    Herr Gramkow will möglichst weit elektrisch fahren

    Seit anderthalb Jahren fährt ein Lkw auf der A1 elektrisch an einer Oberleitung. Wir haben die Spedition besucht, die ihn einsetzt.
    Ein Bericht von Werner Pluta

  2. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

  3. Wochenrückblick: Jetzt schlägt´s 11!
    Wochenrückblick
    Jetzt schlägt´s 11!

    Golem.de-Wochenrückblick Windows 11 ist der Name von Microsofts neuem Betriebssystem und die E3 ist zu Ende. Die Woche im Video.

johnripper 10. Dez 2020

Verstehe den Mehrwert nicht. Ich könnte doch einfach das Logging ausschalten und fertig.

johnripper 10. Dez 2020

Na man hat jetzt rausgefunden, dass man sich mit DoH ein Problem geschaffen hat, welches...

MarcusK 09. Dez 2020

aber dann bitte mit XML und nicht so etwas sparsames wie JSON


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Enermax ETS-F40-FS ARGB 32,99€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals • Ebay: 10% auf Gaming-Produkte [Werbung]
    •  /