提供内容递送网路、DDoS缓解与DNS服务的Cloudflare，本周宣布已与苹果及另一美国云端运算服务供应商Fastly共同开发了新的DNS标准，此一新标准名为Oblivious DNS over HTTPS（ODoH），奠基在DoH之上，但额外提供使用者的隐私保护，避免ISP或DNS解析业者窥探使用者隐私。

DNS系统的作用是将使用者所输入的网址转换成该站的IP位址，传统的DNS查询是以明文递送，为了避免遭到中间人攻击，近来业者开始採用DNS over HTTPS（DoH）协定，加密查询流量，然而，DoH出现了两个隐忧，一是DNS的集中化可能招致单点故障，其次则是就算中间人看不到使用者的查询内容，但DNS解析器依然能够知道哪个使用者的IP查询了什麽网站。

就在Google及Mozilla相继于浏览器中导入DoH之后，亚太网路资讯中心（APNIC）即曾质疑，DNS通常是由网路的操作者所提供，例如ISP业者、电信业者、企业主或是邪恶的公开Wi-Fi，但DoH基本上只能阻止中间人攻击，并无法阻止DNS伺服器供应商检视、封锁或窜改DNS资料。而ODoH即能解决此一顾虑。

ODoH架构是在DoH上额外添增了两个元件，一是独立的端对端加密层，二是在客户端与目标伺服器之间新增一个代理人，于是，客户端传送的是加密的网址查询，先传送到代理人，再传送到目标伺服器，目标伺服器解密之后回传使用者所要查询的网站IP，同样得先经过代理人，再传送至客户端。

因此，DoH伺服器只会看到客户端所查询的内容与代理人的IP位址，代理人则完全看不见查询或回传内容，且只有指定的目标伺服器才能读取与回应查询。

为了建立ODoH生态体系，包括电讯盈科、美国电信业者Equinix与荷兰的非营利研究机构SURFnet，都已成为此一新协定的合作伙伴。

另一方面，Cloudflare也测量了基于ODoH的DNS服务是否会影响效能，在美国、加拿大与巴西测试了1.1.1.1、8.8.8.8及9.9.9.9等DNS服务的运作状况，显示ODoH只比DoH慢了不到1毫秒（千分之一秒）。

除了Cloudflare旗下的1.1.1.1公共DNS查询服务已支援ODoH之外，Cloudflare、苹果及Fastly也已开源支援Rust、odoh-client-rs、Go及odoh-client-go的测试客户端，而Firefox技术长Eric Rescorla也说，期待于Firefox中实验ODoH。