安全工程师正在提出一项实验性协议，该协议承诺在DNS（相当于互联网的电话簿）的运行方式方面提供更大的隐私。Oblivious DNS-over-HTTPS(ODoH)描述了一种协议，该协议允许客户端通过中继加密的DNS-over-HTTPS(DoH)消息的代理向DNS解析器隐藏其IP地址。该方法创建了一个设置，这意味着没有一台服务器同时知道客户端的IP地址和DNS查询和回答的内容——这是一项显着的隐私优势。

该实验协议是在Internet工程任务组(IETF)之外开发的，但有Apple、Cloudflare和Fastly的工程师参与。

上周发布了实验协议的详细技术大纲，其开发人员希望这将吸引大规模的实验和互操作性。

在回答关于该技术用例的问题时，ODoH技术论文的一位作者强调了当前使用Apple的iCloud Private Relay(PDF)和Cloudflare的部署。

根据Cloudflare的说法，ODoH协议增强了用户的隐私，同时旨在“提高加密DNS协议的整体采用率”，但不会影响互联网上的性能和用户体验。

Oblivious DNS-over-HTTPS的工作原理是添加一层公钥加密，以及客户端和DNS-over-HTTPS服务器之间的网络代理。

Oblivious HTTP应用程序中介(OHAI)IETF工作组（该技术正在作为标准开发）概述了工程师希望如何进一步开发和改进 Oblivious DNS-over-HTTPS。

Infoblox的首席 DNS 架构师Cricket Liu认识到ODoH为消费者提供的隐私优势，同时警告说该技术可能会阻碍许多企业环境中安全控制的操作。

Cricket Liu：“我认为Oblivious DNS背后的基本思想从消费者隐私的角度来看是有意义的：你通过一系列代理清洗查询和源IP地址，第一个看到查询者的IP地址，第二个看到查询者的IP地址。其中看到查询本身。

“然而，从企业的角度来看，它带来了与DoH相同的挑战，甚至可能更多，因为使用外部Oblivious DNS代理会使IT组织对员工的行为视而不见。”

该协议的源代码是公开的，因此任何人都可以尝试ODoH或运行自己的ODoH服务。