دی‌ان‌اس بر روی پروتکل انتقال ابرمتن

دی‌ان‌اس بر روی پروتکل انتقال ابرمتن
پروتکل ارتباطات
دلیل	محصور کردن DoH برای بالا بردن سطح حریم خصوصی و امنیت
معرفی‌شده	اکتبر ۲۰۱۸؛ ۶ سال پیش
OSI layer	لایه کاربرد
درخواست نظر	RFC 8484

سامانه نام دامنه بر روی پروتکل امن انتقال ابرمتن یک پروتکل برای ارائهٔ نتیجه دی‌ان‌اس از طریق پروتکل امن انتقال ابرمتن است. یکی از اهداف این روش افزایش سطح امنیت و حریم خصوصی کاربران به وسیله جلوگیری از استراق سمع و دستکاری داده‌های دی‌ان‌اس بوسیله حمله مرد میانی(MITM) می‌باشد. ^[۱] این روش بوسیله HTTPS داده‌های میان کلاینت DoH و دی‌ان‌اس‌های مبتنی بر DoH را رمزنگاری می‌کند، اما با این وجود رمزنگاری به تنهایی از حریم خصوصی محافظت نمی‌کند بلکه در اینجا راهی برای مبهم سازی داده‌است. در مارس ۲۰۱۸ گوگل و بنیاد موزیلا شروع به آزمایش نسخه‌های از DNS over HTTPS کردند؛^[۲]^[۳] در فوریه ۲۰۲۰ موزیلا نسخه ای از فایرفاکس را عرضه کرد که نام دامنه‌ها را به صورت پیش‌فرض برای کاربران آمریکایی رمزنگاری می‌کرد.

از مزایای این پروتکل بعلاوه بهبود سطح امنیت می‌توان به هدف دیگری از DNS over HTTPS، یعنی بهبود کارایی نیز اشاره کرد که: آزمایش دی‌ان‌اس‌های ISPها نشان داده‌است اغلب بسیاری از آنها زمان پاسخ کندی دارند. این مشکل بواسطه نیاز بالقوه برای ترجمه کردن تعداد زیادی اسامی ماشین‌ها به نشانی IP مربوط، در هنگام بارگیری یک صفحه وب تشدید می‌شود.

جزئیات فنی

DoH استانداردی است که در اکتبر ۲۰۱۸ در RFC 8484^[۴] توسط کارگروه مهندسی اینترنت منتشر شد. این پروتکل از پروتکل‌های HTTP/2 و HTTPS استفاده کرده و از ساختار وایر(wire format)، همان‌طور که در پاسخ‌های UDP موجود است، بر روی پاسخ داده‌های دی‌ان‌اس در یک محموله HTTPS با نوع رسانه (MIME) "application/dns-message" پشتیبانی می‌کند. اگر HTTP/2 مورد استفاده قرار بگیرد، امکان دارد سرور از "HTTP/2 server push" برای ارسال مقادیری که پیش‌بینی می‌کند برای کلاینت مفید واقع شود استفاده کند. ^[۵] DoH یک کار در حال توسعه است. با اینکه کارگروه مهندسی اینترنت این پروتکل را در RFC 8484 بعنوان یک استاندارد پیشنهاد شده منتشر کرده و شرکت‌ها در حال آزمایش کردن آن هستند^[۶]^[۷]، این کارگروه هنوز مشخص نکرده‌است که این پروتکل چگونه پیاده‌سازی می‌شود. کارگروه مهندسی اینترنت در حال ارزیابی شماری از رویکردهاست، تا اینکه بهترین راهکار برای قرارگیری DoH را ارائه دهد. همچنین این کارگروه برآن شد تا یک گروه‌کاری بنام کشف دی‌ان‌اس انطباقی را برپا کند تا برای رسیدن به یک اجماع کار و توسعه انجام دهند. در این حین یک گروه‌کاری صنعتی دیگر با نام پیشگامان قرارگیری دی‌ان‌اس رمزنگاری‌شده شکل گرفت تا فناوری‌های رمزنگاری دی‌ان‌اس را تعریف و اتخاذ کنند، به روشی که ادامه کارایی بالا، انعطاف‌پذیری، پایداری و امنیت را در سرویس‌های نیم‌اسپیس و نیم‌رزولوشن تضمین کند، این ضمانت می‌بایست به خوبی عملکرد مداوم محافظت از امنیت، کنترل والدین و دیگر سرویس‌های مبتنی بر روی دی‌ان‌اس را ضمانت نماید.^[۸]

مشکل‌های بسیاری با این مسئله که DoH را چگونه به صورت مناسبی مستقر کنیم، توسط جامعه اینترنت درحال حل شدن هستند که محدود به موارد پایین نیستند:

کنترل والدین و فیلترهای کنترل
تقسیم دی‌ان‌اس در شرکت‌ها
بومی‌سازی شبکه توزیع محتوا
قابلیت سازگاری با شبکه 5G

سناریوهای قرارگیری

DoH برای تفکیک بازگشتی دی‌ان‌اس ترجمه‌گرهای دی‌ان‌اس، مورد استفاده قرار می‌گیرد. ترجمه‌گرها (کارخواه‌های DoH) می‌بایست به یک سرور DoH که پرس‌وجوی نقطه پایانی را میزبانی می‌کند دسترسی داشته باشند.

DoH با کمبود پشتیبانی بومی در سیستم‌های‌عامل مواجه است. بدین ترتیب یک کاربر که مایل به استفاده از این سرویس هست باید نرم‌افزارهای اضافه ای را نصب کند.

۳ سناریوی استفاده متداول است که عبارتند از:

استفاده از پیاده‌سازی DoH با یک برنامه:

برخی از مرورگرها DoH را به‌صورت داخلی دارند و بدین ترتیب می‌توانند با دور زدن کارکرد دی‌ان‌اس سیستم‌عامل پرس‌وجوها را اعمال کنند. مشکل این روش این است که یک برنامه ممکن است باخبر نشود اگر کاربر DoH را براثر پیکربندی اشتباه یا کمبود پشتیبانی سیستم عامل از DoH اشتباهاً اقدام به از قلم انداختن اعمال پرس‌وجو نماید.

نصب یک پروکسی روی نیم‌سرور در شبکه محلی:

در این سناریو سیستم‌های کارخواه به استفاده از دی‌ان‌اس سنتی (پورت ۵۳ یا ۸۵۳) روی دی‌ان‌اس را ادامه می‌دهند با این تفاوت که اعمال پرس‌وجوها توسط دی‌ان‌اس ای که روی شبکه محلی قراردارد انجام می‌شود و این دی‌ان‌اس با رسیدن به سرورهای DoH در اینترنت به این کوئری پاسخ می‌دهد. این روش برای کاربر نهایی شفاف است.

نصب یک پروکسی DoH روی سیستم محلی:

در این سناریو سیستم‌های‌عامل تنظیم می‌شوند تا پرس‌وجوهای دی‌ان‌اس را از یک پروکسی DoH محلی اعمال نمایند. این روش بر خلاف روش قبل نیازمند نصب و پیکربندی روی تک تک سیستم‌هایی هست که مایلند از DoH استفاده کنند و ممکن است برای محیط‌های بزرگتر تلاش بسیاری را نیاز داشته باشند.

نصب یک پلاگین ترجمه‌گر DoH بر روی سیستم عامل

در هیچ‌یک از سناریوهای تعریف شده DoH به‌صورت مستقیم هیچ کوئری ای را طریق یک نیم‌سرور معتبر اعمال نمی‌کند؛ بلکه کارخواه بر سرور DoH ای تکیه دارد که به‌صورت سنتی از پورت‌های ۵۳ و ۸۵۳ استفاده می‌کند. پرس‌وجوها در نهایت به نیم‌سرور معتبر می‌رسند و بدین ترتیب DoH واجد شرایط رمزنگاری سرتاسری(end2end) نیست و تنها از رمزنگاری hop-to-hop استفاده می‌کند (این هم درصورتی تضمین می‌گردد که به‌طور مکرر از دی‌ان‌اس بر روی تی‌ال‌اس استفاده نماید.

سرورهای دی‌ان‌اس عمومی که از DoH استفاده می‌کنند

دی‌ان‌اس بر روی پروتکل امن انتقال ابرمتن سرورهای پیاده‌سازی شده‌ای دارد که بدون هزینه توسط تهیه‌کنندگان بزرگ دی‌ان‌اس موجود شده‌اند.^[۹]

پشتیبانی سیستم عامل

در نوامبر ۲۰۱۹ مایکروسافت اذعان داشته که در حال برنامه‌ریزی برای پیاده‌سازی پشتیبانی ای برای دی‌ان‌اس‌های رمزنگاری شده بر روی ویندوز است که قرار است با DoH شروع شود.^[۱۰]

پشتیبانی از نرم‌افزارها

در سال ۲۰۱۸ موزیلا با همکاری CloudFlare خدمتی را به کاربران ارائه داد که اگر می‌خواهند DoH را برای خودشان فعال کرده و از آن استفاده کنند. فایرفاکس (نسخه ۷۳) یک ترجمه‌گر دیگر به گزینه‌های خود با نام NextDNS اضافه کرد. در ۲۵ فوریه ۲۰۲۰ فایرفاکس شروع به فعال سازی DoH برای کاربران آمریکایی ای کرد که از ترجمه‌گرهای CloudFlare استفاده می‌کنند. ^[۱۱]

جستارهای وابسته

منابع

↑ Chirgwin, Richard (14 Dec 2017). "IETF protects privacy and helps net neutrality with DNS over HTTPS". The Register (به انگلیسی). Retrieved 2018-03-21.
↑ "DNS-over-HTTPS | Public DNS | Google Developers". Google Developers (به انگلیسی). Retrieved 2018-03-21.
↑ Cimpanu, Catalin (2018-03-20). "Mozilla Is Testing "DNS over HTTPS" Support in Firefox". BleepingComputer (به انگلیسی). Retrieved 2018-03-21.
↑ Hoffman, P; McManus, P. "RFC 8484 - DNS Queries over HTTPS". datatracker.ietf.org (به انگلیسی). Archived from the original on 12 December 2018. Retrieved 2018-05-20.
↑ Hoffman, P; McManus, P. "draft-ietf-doh-dns-over-https-08 - DNS Queries over HTTPS". datatracker.ietf.org (به انگلیسی). Retrieved 2018-05-20.
↑ "Experimenting with same-provider DNS-over-HTTPS upgrade". Chromium Blog (به انگلیسی). Retrieved 2019-09-13.
↑ Deckelmann, Selena. "What's next in making Encrypted DNS-over-HTTPS the Default". Future Releases (به انگلیسی). Retrieved 2019-09-13.
↑ "About". Encrypted DNS Deployment Initiative (به انگلیسی). Retrieved 2019-09-13.
↑ "DNS over HTTPS Implementations" (به انگلیسی). 2018-04-27. Retrieved 2018-04-27.
↑ Gallagher, Sean (2019-11-19). "Microsoft says yes to future encrypted DNS requests in Windows". Ars Technica (به انگلیسی). Retrieved 2019-11-20.
↑ Mozilla. "Firefox Announces New Partner in Delivering Private and Secure DNS Services to Users". The Mozilla Blog (به انگلیسی). Retrieved 2020-02-25.

مشارکت‌کنندگان ویکی‌پدیا. «DNS over HTTPS». در دانشنامهٔ ویکی‌پدیای انگلیسی، بازبینی‌شده در ۳ مارس ۲۰۲۰.

[register-1] Chirgwin, Richard (14 Dec 2017). "IETF protects privacy and helps net neutrality with DNS over HTTPS". The Register (به انگلیسی). Retrieved 2018-03-21.

[Google1-2] "DNS-over-HTTPS | Public DNS | Google Developers". Google Developers (به انگلیسی). Retrieved 2018-03-21.

[3] Cimpanu, Catalin (2018-03-20). "Mozilla Is Testing "DNS over HTTPS" Support in Firefox". BleepingComputer (به انگلیسی). Retrieved 2018-03-21.

[RFC8484-4] Hoffman, P; McManus, P. "RFC 8484 - DNS Queries over HTTPS". datatracker.ietf.org (به انگلیسی). Archived from the original on 12 December 2018. Retrieved 2018-05-20.

[draft-ietf-doh-dns-over-https-5] Hoffman, P; McManus, P. "draft-ietf-doh-dns-over-https-08 - DNS Queries over HTTPS". datatracker.ietf.org (به انگلیسی). Retrieved 2018-05-20.

[6] "Experimenting with same-provider DNS-over-HTTPS upgrade". Chromium Blog (به انگلیسی). Retrieved 2019-09-13.

[7] Deckelmann, Selena. "What's next in making Encrypted DNS-over-HTTPS the Default". Future Releases (به انگلیسی). Retrieved 2019-09-13.

[8] "About". Encrypted DNS Deployment Initiative (به انگلیسی). Retrieved 2019-09-13.

[9] "DNS over HTTPS Implementations" (به انگلیسی). 2018-04-27. Retrieved 2018-04-27.

[10] Gallagher, Sean (2019-11-19). "Microsoft says yes to future encrypted DNS requests in Windows". Ars Technica (به انگلیسی). Retrieved 2019-11-20.

[11] Mozilla. "Firefox Announces New Partner in Delivering Private and Secure DNS Services to Users". The Mozilla Blog (به انگلیسی). Retrieved 2020-02-25.

[۱]

[۲]

[۳]

[۴]

[۵]

[۶]

[۷]

[۸]

[۹]

[۱۰]

[۱۱]