Oblivious HTTP (OHTTP) es un protocolo de privacidad que permite a un cliente enviar una solicitud HTTP a un servidor de destino de tal manera que el servidor no puede determinar la dirección IP del cliente. Esto se logra mediante la interposición de un proxy intermedio, conocido como 'Gateway', entre el cliente y el servidor de destino ('Relay'). El cliente cifra su solicitud HTTP para el Relay utilizando la clave pública de este, y luego envía esta solicitud cifrada al Gateway. El Gateway reenvía la solicitud cifrada al Relay sin poder descifrarla ni conocer su contenido. El Relay descifra la solicitud, la procesa y envía la respuesta cifrada de vuelta al Gateway, quien a su vez la reenvía al cliente. Este diseño asegura que ni el Gateway ni el Relay tienen una vista completa de la transacción (quién solicitó qué a quién), rompiendo el vínculo entre la identidad del cliente y el contenido de su solicitud.
OHTTP está siendo adoptado en diversas aplicaciones donde la privacidad del usuario es crítica. Un ejemplo prominente es su uso en la implementación de Private Access Tokens (PAT) por parte de Apple, donde OHTTP ayuda a preservar la privacidad del usuario al validar tokens sin exponer la dirección IP del cliente a los emisores de tokens. También se está explorando su aplicación en servicios de telemetría y recolección de datos anónimos, donde las organizaciones desean recopilar información de uso sin comprometer la privacidad individual de los usuarios. La especificación OHTTP es un estándar IETF (RFC 9230), lo que facilita su adopción e interoperabilidad en diferentes plataformas y servicios.
Para un arquitecto, OHTTP es una herramienta estratégica fundamental en el diseño de sistemas que requieren fuertes garantías de privacidad y anonimato. Permite construir servicios donde la recopilación de datos o la interacción con terceros puede ocurrir sin que el servidor de destino pueda perfilar al usuario basándose en su dirección IP. Sin embargo, introduce complejidad adicional en la arquitectura, requiriendo la gestión de un Gateway y un Relay, cada uno con sus propias responsabilidades de seguridad y disponibilidad. Los trade-offs incluyen una latencia ligeramente mayor debido a los saltos adicionales y el cifrado/descifrado, así como la necesidad de una infraestructura distribuida y confiable para los componentes de OHTTP. La elección de OHTTP es crucial cuando la privacidad del usuario es un requisito no funcional primario y el riesgo de correlación de identidad debe ser minimizado a nivel de red.