С переходом на HTTPS промежуточные узлы уже не могут знать (если не имеют ключа шифрования), что юзер делает на веб-странице. Однако им до сих пор было известно какие именно страницы открывает пользователь. Именно эту дыру приватности исправляет новый интернет-протокол Apple и Cloudflare.
Протокол Dubbed Oblivious DNS-over-HTTPS (ODoH) шифрует процесс получения записи DNS. Эти записи «переводят» буквенные имя сайтов, которые удобны для запоминания человеком, на числовые IP-адреса, понятные для компьютеров.
Отсутствие шифрования запросов DNS позволяет промежуточным организациям, например, интернет-провайдерам, продавать историю веб-серфинга пользователей. Также есть техники перехвата запросов DNS и перенаправления юзеров на вредоносные сайты. Существующая технология DNS-over-HTTPS (DoH) затрудняла перехват запросов DNS, но так же позволяла провайдерам знать какие сайты посещают юзеры.
В ODoH запросы DNS отделены от личности пользователя. Поэтому узел DNS не знает какие сайты тот посещает. Для этого ODoH шифрует запрос DNS и передает его через промежуточный узел. Шифрование гарантирует, что этот узел не знает содержание запроса DNS. При этом узел DNS, который получит запрос, не будет иметь дополнительных данных для идентификации юзера.
Ключевым элементом ODoH является то, что промежуточный узел и узел DNS должны находиться под контролем различных субъектов. Иначе нарушается принцип разделения знания.
Разработчики говорят, что использование ODoH имеет почти незаметное влияние на скорость загрузки сайтов. Пользователи не почувствуют замедления в загрузке сайтов, убеждают они.
Некоторые организации уже начали предлагать промежуточные узлы, которые сотрудничают с узлами DNS от Cloudflare. Массовое распространение этой технологии разработчики ожидают после внедрения ее поддержки в браузерах. В зависимости от продолжительности сертификации технологии органом Internet Engineering Task Force для этого может потребоваться от нескольких месяцев до нескольких лет.
