دیاناس بر روی پروتکل انتقال ابرمتن
سامانه نام دامنه بر روی پروتکل امن انتقال ابرمتن یک پروتکل برای ارائهٔ نتیجه دیاناس از طریق پروتکل امن انتقال ابرمتن است. یکی از اهداف این روش افزایش سطح امنیت و حریم خصوصی کاربران به وسیله جلوگیری از استراق سمع و دستکاری دادههای دیاناس بوسیله حمله مرد میانی(MITM) میباشد. این روش بوسیله HTTPS دادههای میان کلاینت DoH و دیاناسهای مبتنی بر DoH را رمزنگاری میکند، اما با این وجود رمزنگاری به تنهایی از حریم خصوصی محافظت نمیکند بلکه در اینجا راهی برای مبهم سازی دادهاست. در مارس ۲۰۱۸ گوگل و بنیاد موزیلا شروع به آزمایش نسخههای از DNS over HTTPS کردند؛ در فوریه ۲۰۲۰ موزیلا نسخه ای از فایرفاکس را عرضه کرد که نام دامنهها را به صورت پیشفرض برای کاربران آمریکایی رمزنگاری میکرد.
پروتکل ارتباطات | |
دلیل | محصور کردن DoH برای بالا بردن سطح حریم خصوصی و امنیت |
---|---|
معرفیشده | اکتبر ۲۰۱۸ |
OSI layer | لایه کاربرد |
درخواست نظر | RFC 8484 |
از مزایای این پروتکل بعلاوه بهبود سطح امنیت میتوان به هدف دیگری از DNS over HTTPS، یعنی بهبود کارایی نیز اشاره کرد که: آزمایش دیاناسهای ISPها نشان دادهاست اغلب بسیاری از آنها زمان پاسخ کندی دارند. این مشکل بواسطه نیاز بالقوه برای ترجمه کردن تعداد زیادی اسامی ماشینها به نشانی IP مربوط، در هنگام بارگیری یک صفحه وب تشدید میشود.
جزئیات فنی
DoH استانداردی است که در اکتبر ۲۰۱۸ در RFC 8484 توسط کارگروه مهندسی اینترنت منتشر شد. این پروتکل از پروتکلهای HTTP/2 و HTTPS استفاده کرده و از ساختار وایر(wire format)، همانطور که در پاسخهای UDP موجود است، بر روی پاسخ دادههای دیاناس در یک محموله HTTPS با نوع رسانه (MIME) "application/dns-message" پشتیبانی میکند. اگر HTTP/2 مورد استفاده قرار بگیرد، امکان دارد سرور از "HTTP/2 server push" برای ارسال مقادیری که پیشبینی میکند برای کلاینت مفید واقع شود استفاده کند. DoH یک کار در حال توسعه است. با اینکه کارگروه مهندسی اینترنت این پروتکل را در RFC 8484 بعنوان یک استاندارد پیشنهاد شده منتشر کرده و شرکتها در حال آزمایش کردن آن هستند، این کارگروه هنوز مشخص نکردهاست که این پروتکل چگونه پیادهسازی میشود. کارگروه مهندسی اینترنت در حال ارزیابی شماری از رویکردهاست، تا اینکه بهترین راهکار برای قرارگیری DoH را ارائه دهد. همچنین این کارگروه برآن شد تا یک گروهکاری بنام کشف دیاناس انطباقی را برپا کند تا برای رسیدن به یک اجماع کار و توسعه انجام دهند. در این حین یک گروهکاری صنعتی دیگر با نام پیشگامان قرارگیری دیاناس رمزنگاریشده شکل گرفت تا فناوریهای رمزنگاری دیاناس را تعریف و اتخاذ کنند، به روشی که ادامه کارایی بالا، انعطافپذیری، پایداری و امنیت را در سرویسهای نیماسپیس و نیمرزولوشن تضمین کند، این ضمانت میبایست به خوبی عملکرد مداوم محافظت از امنیت، کنترل والدین و دیگر سرویسهای مبتنی بر روی دیاناس را ضمانت نماید.
مشکلهای بسیاری با این مسئله که DoH را چگونه به صورت مناسبی مستقر کنیم، توسط جامعه اینترنت درحال حل شدن هستند که محدود به موارد پایین نیستند:
- کنترل والدین و فیلترهای کنترل
- تقسیم دیاناس در شرکتها
- بومیسازی شبکه توزیع محتوا
- قابلیت سازگاری با شبکه 5G
سناریوهای قرارگیری
DoH برای تفکیک بازگشتی دیاناس ترجمهگرهای دیاناس، مورد استفاده قرار میگیرد. ترجمهگرها (کارخواههای DoH) میبایست به یک سرور DoH که پرسوجوی نقطه پایانی را میزبانی میکند دسترسی داشته باشند.
DoH با کمبود پشتیبانی بومی در سیستمهایعامل مواجه است. بدین ترتیب یک کاربر که مایل به استفاده از این سرویس هست باید نرمافزارهای اضافه ای را نصب کند.
۳ سناریوی استفاده متداول است که عبارتند از:
- استفاده از پیادهسازی DoH با یک برنامه:
برخی از مرورگرها DoH را بهصورت داخلی دارند و بدین ترتیب میتوانند با دور زدن کارکرد دیاناس سیستمعامل پرسوجوها را اعمال کنند. مشکل این روش این است که یک برنامه ممکن است باخبر نشود اگر کاربر DoH را براثر پیکربندی اشتباه یا کمبود پشتیبانی سیستم عامل از DoH اشتباهاً اقدام به از قلم انداختن اعمال پرسوجو نماید.
- نصب یک پروکسی روی نیمسرور در شبکه محلی:
در این سناریو سیستمهای کارخواه به استفاده از دیاناس سنتی (پورت ۵۳ یا ۸۵۳) روی دیاناس را ادامه میدهند با این تفاوت که اعمال پرسوجوها توسط دیاناس ای که روی شبکه محلی قراردارد انجام میشود و این دیاناس با رسیدن به سرورهای DoH در اینترنت به این کوئری پاسخ میدهد. این روش برای کاربر نهایی شفاف است.
- نصب یک پروکسی DoH روی سیستم محلی:
در این سناریو سیستمهایعامل تنظیم میشوند تا پرسوجوهای دیاناس را از یک پروکسی DoH محلی اعمال نمایند. این روش بر خلاف روش قبل نیازمند نصب و پیکربندی روی تک تک سیستمهایی هست که مایلند از DoH استفاده کنند و ممکن است برای محیطهای بزرگتر تلاش بسیاری را نیاز داشته باشند.
- نصب یک پلاگین ترجمهگر DoH بر روی سیستم عامل
در هیچیک از سناریوهای تعریف شده DoH بهصورت مستقیم هیچ کوئری ای را طریق یک نیمسرور معتبر اعمال نمیکند؛ بلکه کارخواه بر سرور DoH ای تکیه دارد که بهصورت سنتی از پورتهای ۵۳ و ۸۵۳ استفاده میکند. پرسوجوها در نهایت به نیمسرور معتبر میرسند و بدین ترتیب DoH واجد شرایط رمزنگاری سرتاسری(end2end) نیست و تنها از رمزنگاری hop-to-hop استفاده میکند (این هم درصورتی تضمین میگردد که بهطور مکرر از دیاناس بر روی تیالاس استفاده نماید.
سرورهای دیاناس عمومی که از DoH استفاده میکنند
دیاناس بر روی پروتکل امن انتقال ابرمتن سرورهای پیادهسازی شدهای دارد که بدون هزینه توسط تهیهکنندگان بزرگ دیاناس موجود شدهاند.
پشتیبانی سیستم عامل
در نوامبر ۲۰۱۹ مایکروسافت اذعان داشته که در حال برنامهریزی برای پیادهسازی پشتیبانی ای برای دیاناسهای رمزنگاری شده بر روی ویندوز است که قرار است با DoH شروع شود.
پشتیبانی از نرمافزارها
در سال ۲۰۱۸ موزیلا با همکاری CloudFlare خدمتی را به کاربران ارائه داد که اگر میخواهند DoH را برای خودشان فعال کرده و از آن استفاده کنند. فایرفاکس (نسخه ۷۳) یک ترجمهگر دیگر به گزینههای خود با نام NextDNS اضافه کرد. در ۲۵ فوریه ۲۰۲۰ فایرفاکس شروع به فعال سازی DoH برای کاربران آمریکایی ای کرد که از ترجمهگرهای CloudFlare استفاده میکنند.
جستارهای وابسته
منابع
- ↑ Chirgwin, Richard (14 Dec 2017). "IETF protects privacy and helps net neutrality with DNS over HTTPS". The Register (به انگلیسی). Retrieved 2018-03-21.
- ↑ "DNS-over-HTTPS | Public DNS | Google Developers". Google Developers (به انگلیسی). Retrieved 2018-03-21.
- ↑ Cimpanu, Catalin (2018-03-20). "Mozilla Is Testing "DNS over HTTPS" Support in Firefox". BleepingComputer (به انگلیسی). Retrieved 2018-03-21.
- ↑ Hoffman, P; McManus, P. "RFC 8484 - DNS Queries over HTTPS". datatracker.ietf.org (به انگلیسی). Archived from the original on 12 December 2018. Retrieved 2018-05-20.
- ↑ Hoffman, P; McManus, P. "draft-ietf-doh-dns-over-https-08 - DNS Queries over HTTPS". datatracker.ietf.org (به انگلیسی). Retrieved 2018-05-20.
- ↑ "Experimenting with same-provider DNS-over-HTTPS upgrade". Chromium Blog (به انگلیسی). Retrieved 2019-09-13.
- ↑ Deckelmann, Selena. "What's next in making Encrypted DNS-over-HTTPS the Default". Future Releases (به انگلیسی). Retrieved 2019-09-13.
- ↑ "About". Encrypted DNS Deployment Initiative (به انگلیسی). Retrieved 2019-09-13.
- ↑ "DNS over HTTPS Implementations" (به انگلیسی). 2018-04-27. Retrieved 2018-04-27.
- ↑ Gallagher, Sean (2019-11-19). "Microsoft says yes to future encrypted DNS requests in Windows". Ars Technica (به انگلیسی). Retrieved 2019-11-20.
- ↑ Mozilla. "Firefox Announces New Partner in Delivering Private and Secure DNS Services to Users". The Mozilla Blog (به انگلیسی). Retrieved 2020-02-25.