Cloudflare ve Apple‘daki mühendisler, internet gizliliğindeki pek çok kişinin varlığından bile haberdar olmadığı en büyük boşluklardan birini destekleyecek yeni bir internet protokolü geliştirdiklerini söylüyorlar. Unlivious DNS-over-HTTPS veya kısaca ODoH olarak adlandırılan yeni protokol, internet sağlayıcılarının hangi web sitelerini ziyaret ettiğinizi bilmesini çok daha zor hale getiriyor.
İnternet Nasıl Çalışıyor?
Bir web sitesini her ziyaret ettiğinizde, tarayıcınız (chrome vs.) bir web sayfasının internette nerede bulunduğunu bulmak için web adreslerini makine tarafından okunabilir IP adreslerine dönüştürmek için bir DNS çözümleyici kullanır. Ancak bu işlem şifrelenmez, yani bir web sitesini her yüklediğinizde DNS sorgusu açık olarak gönderilir. Özetle, DNS ayarlarını değiştirmediyseniz internet sağlayıcınız hangi web sitelerini ziyaret ettiğinizi bildiği anlamına gelir. Özellikle internet sağlayıcınız tarayıcı geçmişinizi reklamverenlere satabildiğinden, bu gizliliğiniz için hoş bir durum değildir.
HTTPS üzerinden DNS (veya DoH) gibi son gelişmeler, DNS sorgularına şifreleme ekleyerek saldırganların DNS sorgularını ele geçirmesini ve kurbanları ziyaret etmek istediğiniz gerçek web sitesi yerine kötü amaçlı web sitelerine yönlendirmesini zorlaştırdı. Ancak bu yine de DNS çözümleyicilerin hangi web sitesini ziyaret etmeye çalıştığınızı görmesini engellemez.
ODoH Nasıl Çalışır?
İşleyiş şekli şöyledir: ODoH, DNS sorgusunun etrafına bir şifreleme katmanı sarar ve bunu internet kullanıcısı ile ziyaret etmek istedikleri web sitesi arasında bir geçiş görevi gören bir proxy sunucusundan geçirir. DNS sorgusu şifrelendiğinden, proxy içeride ne olduğunu göremez, ancak DNS çözümleyicisinin sorguyu kimin gönderdiğini görmesini engellemek için bir kalkan görevi görür.
Cloudflare’nin araştırma başkanı Nick Sullivan, “ODoH’un yapması gereken, sorguyu kimin yaptığı ve sorgunun ne olduğu hakkındaki bilgileri ayırmaktır” dedi.
Diğer bir deyişle ODoH, internet kullanıcısının kimliğini yalnızca proxy‘nin bilmesini ve DNS çözümleyicisinin yalnızca talep edilen web sitesini bilmesini sağlar. Sullivan, ODoH‘daki sayfa yükleme sürelerinin DoH‘den “pratik olarak ayırt edilemez” olduğunu ve tarama hızında önemli bir değişikliğe neden olmaması gerektiğini söyledi.
Sullivan, ODoH‘nin düzgün bir şekilde çalışmasının temel bileşenlerinden biri, proxy ve DNS çözümleyicisinin aynı varlık tarafından kontrol edilmediği için asla “işbirliği yapmamasını” sağlamaktır, aksi takdirde “bilgi ayrımı bozulur” dedi Sullivan. Bu, proxy çalıştırmayı teklif eden şirketlere güvenmek anlamına gelir.
Sullivan, birkaç ortak kuruluşun halihazırda proxy çalıştırdığını ve bu sayede, erken benimseyenlerin Cloudflare’nin mevcut 1.1.1.1 DNS çözümleyicisi aracılığıyla teknolojiyi kullanmaya başlamasına izin verdiğini söyledi. Ancak çoğu ODoH, kullanılmadan önce tarayıcılara ve işletim sistemlerine yüklenene kadar beklemek zorunda kalacak. ODoH‘nin İnternet Mühendisliği Görev Gücü tarafından bir standart olarak onaylanmasının ne kadar sürdüğüne bağlı olarak bu, aylar veya yıllar alabilir.