DNS over HTTPS (DoH) پروتکلی است که سیستم نام دامنه (DNS) و پروتکل امن انتقال ابرمتن (HTTPS) را ترکیب میکند تا راه خصوصی و امنتری برای حل نام دامنه به آدرسهای IP ارائه دهد. این پرس و جوها و پاسخ های DNS را در HTTPS رمزگذاری می کند، از داده های کاربر در برابر استراق سمع و دستکاری محافظت می کند و اطمینان می دهد که ISP ها و سایر واسطه ها نمی توانند ترافیک DNS را نظارت یا دستکاری کنند.
تاریخچه پیدایش DNS از طریق HTTPS و اولین اشاره به آن
DNS روی HTTPS ابتدا در اکتبر 2017 توسط مهندسان Mozilla و Cloudflare به عنوان راهی برای رسیدگی به نگرانیهای امنیتی و حفظ حریم خصوصی مرتبط با وضوح DNS سنتی پیشنهاد شد. هدف این پروتکل جلوگیری از جاسوسی ارائهدهندگان خدمات اینترنتی (ISP)، دولتها یا عوامل مخرب از جستارهای DNS کاربران بود که میتواند فعالیتهای اینترنتی آنها را فاش کند و به طور بالقوه منجر به نقض حریم خصوصی شود.
اطلاعات دقیق در مورد DNS از طریق HTTPS. گسترش موضوع DNS از طریق HTTPS
DNS روی HTTPS با قرار دادن پرسشها و پاسخهای DNS در بستههای HTTPS، که با استفاده از امنیت لایه انتقال (TLS) رمزگذاری و احراز هویت میشوند، عمل میکند. این رمزگذاری تضمین میکند که فقط طرفهای مورد نظر میتوانند محتوا را رمزگشایی کنند و از آن در برابر رهگیری و تغییر محافظت کند.
هنگامی که دستگاه کاربر می خواهد یک نام دامنه را حل کند (به عنوان مثال، www.example.com) به آدرس IP مربوطه خود، یک درخواست DNS را به سرور DNS ارسال می کند. با DoH، به جای استفاده از پورت های UDP یا TCP سنتی برای DNS، دستگاه درخواست DNS را از طریق پورت 443، که پورت استاندارد برای ترافیک HTTPS است، ارسال می کند. پرس و جو DNS سپس به یک سرور DNS که از DoH پشتیبانی می کند، ارسال می شود.
سرور DNS با ارسال پاسخ DNS از طریق HTTPS پاسخ می دهد و حلقه رمزگذاری شده را تکمیل می کند. دستگاه پاسخ را رمزگشایی می کند و آدرس IP مورد نیاز برای دسترسی به وب سایت مورد نظر را بدست می آورد.
ساختار داخلی DNS روی HTTPS. نحوه عملکرد DNS از طریق HTTPS
ساختار داخلی DNS بر روی HTTPS را می توان به سه جزء اصلی تقسیم کرد:
-
مشتری: کلاینت به دستگاه یا برنامه کاربر اشاره می کند که فرآیند حل DNS را آغاز می کند. هنگامی که مشتری می خواهد یک نام دامنه را حل کند، یک پرس و جو DNS ایجاد می کند و آن را از طریق یک اتصال HTTPS ارسال می کند.
-
DNS-over-HTTPS Resolver: این جزء درخواست DNS مشتری را از طریق HTTPS دریافت می کند. به عنوان یک واسطه بین مشتری و سرور DNS عمل می کند و رمزگذاری و رمزگشایی ترافیک DNS را مدیریت می کند. حلکننده مسئول ارسال درخواست DNS به سرور DNS و بازگرداندن پاسخ رمزگذاری شده به مشتری است.
-
سرور DNS: سرور DNS پرس و جوی DNS را پردازش می کند و پاسخ DNS مربوطه را به حل کننده DNS-over-HTTPS برمی گرداند، که به نوبه خود، آن را رمزگذاری می کند و آن را برای مشتری ارسال می کند.
این فرآیند تضمین می کند که پرس و جو و پاسخ DNS از دسترسی و دستکاری غیرمجاز محافظت می شود.
تجزیه و تحلیل ویژگی های کلیدی DNS از طریق HTTPS
DNS از طریق HTTPS چندین ویژگی کلیدی را ارائه می دهد که حریم خصوصی و امنیت را افزایش می دهد:
-
رمزگذاری: پرسشها و پاسخهای DNS با استفاده از TLS رمزگذاری میشوند و از شنود و رمزگشایی ترافیک DNS جلوگیری میکنند.
-
اعتبار: TLS همچنین احراز هویت را فراهم میکند و اطمینان میدهد که کلاینتها با سرورهای DNS قانونی ارتباط برقرار میکنند و نه جعلکنندگانی که اقدام به حملات انسان در وسط میکنند.
-
حریم خصوصی: وضوح DNS سنتی پرس و جوها را به صورت متن ساده ارسال می کند و عادات مرور کاربران را آشکار می کند. با DoH، ISP ها و سایر واسطه ها نمی توانند ترافیک DNS کاربران را نظارت کنند.
-
امنیت: با رمزگذاری DNS، DoH از جعل DNS و حملات مسمومیت حافظه پنهان جلوگیری می کند و امنیت کلی وضوح DNS را افزایش می دهد.
-
دسترسی نامحدود: برخی از شبکه ها یا مناطق ممکن است محدودیت هایی را برای ترافیک DNS اعمال کنند، اما از آنجایی که DoH از پورت استاندارد HTTPS (443) استفاده می کند، می تواند این محدودیت ها را دور بزند.
-
عملکرد بهبود یافته: DoH می تواند به طور بالقوه عملکرد وضوح DNS را با استفاده از زیرساخت بهینه شبکه های تحویل محتوا (CDN) که توسط ارائه دهندگان DNS-over-HTTPS استفاده می شود، بهبود بخشد.
انواع DNS از طریق HTTPS
دو نوع اصلی از DNS بر روی اجرای HTTPS وجود دارد:
-
DNS عمومی از طریق خدمات HTTPS: اینها حلکنندههای شخص ثالث DNS-over-HTTPS هستند که توسط شرکتها یا سازمانها ارائه میشوند. به عنوان مثال می توان به Cloudflare، Google و Quad9 اشاره کرد. کاربران می توانند دستگاه ها یا برنامه های خود را برای استفاده از این خدمات عمومی DoH پیکربندی کنند و از وضوح DNS رمزگذاری شده اطمینان حاصل کنند.
-
DNS خصوصی از طریق سرورهای HTTPS: علاوه بر استفاده از خدمات عمومی DoH، کاربران می توانند سرورهای DoH خصوصی خود را برای مدیریت وضوح DNS برای شبکه های خود راه اندازی کنند. این گزینه کنترل و حریم خصوصی بیشتری را ارائه می دهد، زیرا پرس و جوهای DNS از طریق سرورهای شخص ثالث هدایت نمی شوند.
در اینجا جدول مقایسه برخی از DNS عمومی محبوب از ارائه دهندگان HTTPS آمده است:
ارائه دهنده | آدرس آی پی | سیاست حفظ حریم خصوصی | امکانات |
---|---|---|---|
Cloudflare | 1.1.1.1, 1.0.0.1 | Privacy-First Resolver DNS | محافظت از بدافزار و فیشینگ |
گوگل | 8.8.8.8, 8.8.4.4 | Google Public DNS | مرور ایمن و پشتیبانی از DNSSEC |
Quad9 | 9.9.9.9 | حریم خصوصی و امنیت | فیلتر کردن دامنه های مخرب |
OpenDNS | 208.67.222.222 | چتر سیسکو | قابلیت تنظیم فیلتر محتوا |
کاربران می توانند با پیکربندی تنظیمات حل کننده DNS، DNS را از طریق HTTPS در دستگاه ها یا برنامه های خود فعال کنند. بسیاری از مرورگرهای وب مدرن نیز به صورت بومی از DoH پشتیبانی میکنند و انتخاب رزولوشن DNS رمزگذاری شده را برای کاربران آسان میکنند.
با این حال، برخی از چالشهای مرتبط با DNS نسبت به پذیرش HTTPS وجود دارد:
-
سازگاری: همه سرورهای DNS از DoH پشتیبانی نمی کنند، بنابراین ممکن است برخی از دامنه ها هنگام استفاده از DNS از طریق HTTPS به درستی حل نشوند. با این حال، تعداد سرورهای DNS سازگار با DoH در حال افزایش است.
-
گسترش: برای سرورهای خصوصی DoH، راه اندازی و نگهداری زیرساخت ممکن است به تخصص فنی نیاز داشته باشد.
-
سانسور و نظارت: در حالی که وزارت بهداشت حریم خصوصی را افزایش می دهد، می توان از آن برای دور زدن فیلتر محتوا و اقدامات سانسور نیز استفاده کرد که نگرانی هایی را برای برخی از دولت ها و مدیران شبکه ایجاد می کند.
برای مقابله با این چالشها، داشتن طیف متنوعی از DNS عمومی نسبت به ارائهدهندگان HTTPS و ترویج پذیرش DoH در میان اپراتورهای DNS ضروری است.
ویژگی های اصلی و مقایسه های دیگر با اصطلاحات مشابه
بیایید DNS را از طریق HTTPS با برخی از اصطلاحات مشابه مقایسه کنیم:
-
DNS از طریق TLS (DoT): مشابه DoH، DNS روی TLS ترافیک DNS را رمزگذاری می کند، اما از TLS بدون لایه HTTP استفاده می کند. هدف هر دو پروتکل دستیابی به یک هدف DNS رمزگذاری شده است، اما DoH می تواند فایروال دوستانه تر باشد زیرا از پورت استاندارد HTTPS استفاده می کند.
-
VPN (شبکه خصوصی مجازی): VPN ها همچنین ترافیک اینترنت، از جمله پرس و جوهای DNS را رمزگذاری می کنند، اما در لایه متفاوتی کار می کنند. VPN ها تمام ترافیک بین دستگاه کاربر و سرور VPN را رمزگذاری می کنند، در حالی که DoH فقط ترافیک DNS بین مشتری و حل کننده DNS-over-HTTPS را رمزگذاری می کند.
-
DNSSEC (برنامههای افزودنی امنیتی DNS): DNSSEC یک ویژگی امنیتی برای DNS است که یکپارچگی داده ها و احراز هویت را فراهم می کند. در حالی که DNSSEC و DoH را می توان با هم برای افزایش امنیت استفاده کرد، اما اهداف متفاوتی را دنبال می کنند. DNSSEC در برابر دستکاری داده های DNS محافظت می کند، در حالی که DoH از ترافیک DNS در برابر استراق سمع و نظارت محافظت می کند.
DNS از طریق HTTPS در سال های اخیر جذابیت قابل توجهی پیدا کرده است و آینده آن امیدوارکننده به نظر می رسد. از آنجایی که کاربران و سازمان های بیشتری حریم خصوصی آنلاین را در اولویت قرار می دهند، DoH احتمالاً به یک ویژگی استاندارد در مرورگرها و برنامه های مدرن تبدیل می شود. رشد مداوم DNS عمومی نسبت به ارائه دهندگان HTTPS و پذیرش DoH توسط اپراتورهای DNS به استفاده گسترده از آن کمک می کند.
علاوه بر این، توسعه فناوریهای جدید DNS و پیشرفتهای امنیتی، مانند ترکیب DoH با DNSSEC یا پیادهسازی ویژگیهای حفظ حریم خصوصی مانند چشمبند DNS، ممکن است حریم خصوصی و امنیت وضوح DNS را افزایش دهد.
چگونه می توان از سرورهای پروکسی از طریق HTTPS با DNS استفاده کرد یا با آن مرتبط شد
سرورهای پروکسی می توانند نقش حیاتی در زمینه DNS از طریق HTTPS ایفا کنند، به خصوص در سناریوهایی که رزولوشن DNS محدود است یا زمانی که ناشناس بودن اضافی مورد نظر است. در اینجا چند راه وجود دارد که سرورهای پراکسی می توانند با DNS از طریق HTTPS مرتبط شوند:
-
دور زدن محدودیت های DNS: در مناطق یا شبکههایی که DNS از طریق HTTPS مسدود شده است، کاربران میتوانند درخواستهای DNS خود را از طریق سرورهای پراکسی برای دسترسی به حلکنندههای DoH و حل نامهای دامنه ایمن مسیریابی کنند.
-
ناشناس بودن تقویت شده: سرورهای پروکسی می توانند به عنوان واسطه بین کاربر و حل کننده DoH عمل کنند و با مخفی کردن آدرس IP کاربر از حل کننده DNS، یک لایه ناشناس اضافی را فراهم کنند.
-
تعادل بار و ذخیره سازی: سرورهای پروکسی می توانند به توزیع پرس و جوهای DNS در بین چندین حل کننده DoH کمک کنند، از تعادل بار بهتر و به طور بالقوه کاهش زمان وضوح DNS از طریق کش کردن اطمینان حاصل کنند.
-
پیاده سازی سفارشی DoH: سازمانها میتوانند سرورهای پراکسی خصوصی را با قابلیتهای DNS از طریق HTTPS مستقر کنند، که به آنها امکان میدهد کنترل بیشتری بر ترافیک DNS خود داشته باشند و حریم خصوصی DNS خود را حفظ کنند.
لینک های مربوطه
برای اطلاعات بیشتر درباره DNS از طریق HTTPS، میتوانید منابع زیر را کاوش کنید:
- موزیلا ویکی – DNS از طریق HTTPS
- Cloudflare – DNS از طریق HTTPS
- Google Public DNS – DNS از طریق HTTPS
- Quad9 - DNS از طریق HTTPS
- IETF RFC 8484 - جستارهای DNS از طریق HTTPS (DoH)
در نتیجه، DNS از طریق HTTPS یک پیشرفت مهم در دنیای سرورهای پراکسی است که حریم خصوصی و امنیت بیشتری را برای درخواستهای DNS کاربران فراهم میکند. با رمزگذاری ترافیک DNS در HTTPS، DNS روی HTTPS تضمین میکند که اطلاعات حساس محرمانه باقی میمانند و از دسترسی غیرمجاز محافظت میشوند. همانطور که اینترنت به تکامل خود ادامه می دهد، DNS از طریق HTTPS احتمالاً به بخشی جدایی ناپذیر از ایمن سازی ارتباطات آنلاین و محافظت از داده های کاربر در برابر تهدیدات احتمالی تبدیل می شود.