शुरुआती जानकारी
पारंपरिक डीएनएस क्वेरी और जवाबों को यूडीपी या टीसीपी पर बिना एन्क्रिप्ट (सुरक्षित) किए भेजा जाता है. इससे छिपकर या झूठे नाम से मेल भेजे जाने का जोखिम हो सकता है. इसमें डीएनएस पर आधारित इंटरनेट फ़िल्टर करना भी शामिल है. क्लाइंट को बार-बार आने वाले रिज़ॉल्वर के जवाबों में अनचाहे या नुकसान पहुंचाने वाले बदलावों का जोखिम सबसे ज़्यादा होता है. हालांकि, बार-बार होने वाले रिज़ॉल्वर और आधिकारिक नेम सर्वर के बीच होने वाले कम्यूनिकेशन में अक्सर अतिरिक्त सुरक्षा शामिल होती है.
इन समस्याओं को ठीक करने के लिए, Google का सार्वजनिक डीएनएस, TLS से एन्क्रिप्ट (सुरक्षित) किए गए टीसीपी कनेक्शन पर डीएनएस रिज़ॉल्यूशन की सुविधा देता है. इसके बारे में आरएफ़सी 7858 में बताया गया है. DNS-over-TLS, क्लाइंट और रिज़ॉल्वर के बीच निजता और सुरक्षा को बेहतर बनाता है. यह डीएनएसएसईसी की सुविधा को बेहतर बनाता है और डीएनएसएसईसी से पुष्टि किए गए नतीजों को, क्लाइंट तक भेजे जाने के दौरान उनमें बदलाव या झूठे नाम से मेल न भेजे जाने से बचाता है.
यह कैसे काम करता है
कोई क्लाइंट सिस्टम, इन दो प्रोफ़ाइलों में से किसी एक के साथ DNS-over-TLS का इस्तेमाल कर सकता है: सख्त या ऑपर्च्यूनिटी निजता. सख्त निजता प्रोफ़ाइल की मदद से, उपयोगकर्ता डीएनएस-ओवर-TLS सेवा के लिए, डीएनएस सर्वर नाम (आरएफ़सी 8310 में पुष्टि करने वाला डोमेन नाम) कॉन्फ़िगर करता है. साथ ही, क्लाइंट के पास डीएनएस सर्वर पर पोर्ट 853 पर सुरक्षित TLS कनेक्शन बनाने की सुविधा होनी चाहिए. सुरक्षित कनेक्शन नहीं बना पाना एक गंभीर गड़बड़ी है. इससे क्लाइंट के लिए कोई डीएनएस सेवा नहीं मिलती.
अवसरवादी निजता प्रोफ़ाइल के साथ, डीएनएस सर्वर के आईपी पते को सीधे उपयोगकर्ता या लोकल नेटवर्क से (डीएचसीपी या किसी दूसरे तरीके का इस्तेमाल करके) कॉन्फ़िगर किया जा सकता है. क्लाइंट रिज़ॉल्वर, पोर्ट 853 पर बताए गए डीएनएस सर्वर पर एक सुरक्षित कनेक्शन बनाने की कोशिश करता है. सुरक्षित कनेक्शन मिलने पर, पाथ के पैसिव ऑब्ज़र्वर से उपयोगकर्ता की क्वेरी के लिए निजता की जानकारी मिलती है. क्लाइंट, सर्वर की प्रामाणिकता की पुष्टि नहीं करता, इसलिए यह किसी सक्रिय हमलावर से सुरक्षित नहीं होता. अगर क्लाइंट पोर्ट 853 पर सुरक्षित कनेक्शन नहीं बना पाता, तो वह यूडीपी या टीसीपी पर स्टैंडर्ड डीएनएस पोर्ट 53 पर डीएनएस सर्वर से संपर्क करने के लिए, यूडीपी या टीसीपी पर बिना किसी सुरक्षा या निजता के संपर्क करता है. ऑपर्च्यूनिटी निजता सुविधा का इस्तेमाल निजता को बेहतर बनाने के साथ-साथ, इसे बेहतर बनाने के मकसद से किया जाता है. इसमें, निजता प्रोफ़ाइल का बड़े पैमाने पर इस्तेमाल करने को ध्यान में रखा जाता है.
सख्त निजता प्रोफ़ाइल का इस्तेमाल करते समय, स्टब रिज़ॉल्वर इस तरीके से डीएनएस-ओवर-TLS कनेक्शन बनाते हैं.
- स्टब रिज़ॉल्वर को डीएनएस-ओवर-TLS रिज़ॉल्वर नाम
dns.google
के साथ कॉन्फ़िगर किया गया है. - स्टब रिज़ॉल्वर, लोकल डीएनएस रिज़ॉल्वर का इस्तेमाल करके
dns.google
का आईपी पता(पते) हासिल करता है. - स्टब रिज़ॉल्वर, पोर्ट 853 से उन आईपी पते पर टीसीपी कनेक्शन बनाता है.
- स्टब रिज़ॉल्वर, Google के सार्वजनिक डीएनएस रिज़ॉल्वर के साथ TLS हैंडशेक शुरू करता है.
- Google का सार्वजनिक डीएनएस सर्वर अपने TLS सर्टिफ़िकेट को, एक भरोसेमंद रूट सर्टिफ़िकेट पर TLS सर्टिफ़िकेट की पूरी चेन के साथ दिखाता है.
- स्टब रिज़ॉल्वर, सर्वर की पहचान की पुष्टि, दिए गए सर्टिफ़िकेट के आधार पर करता है.
- अगर पहचान की पुष्टि नहीं की जा सकती, तो डीएनएस नाम का रिज़ॉल्यूशन काम नहीं करता और स्टब रिज़ॉल्वर गड़बड़ी दिखाता है.
- TLS कनेक्शन बनने के बाद, स्टब रिज़ॉल्वर का Google के सार्वजनिक डीएनएस सर्वर से कनेक्ट करने का एक सुरक्षित पाथ होता है.
- अब स्टब रिज़ॉल्वर, डीएनएस क्वेरी भेज सकता है और कनेक्शन पर जवाब पा सकता है.
एक अवसरवादी निजता प्रोफ़ाइल का इस्तेमाल करते समय, क्लाइंट पहले सर्वर से एक सुरक्षित TLS कनेक्शन बनाने की कोशिश करता है. यह ऊपर बताए गए तरीके से ही, एक ज़रूरी अंतर को ध्यान में रखते हुए किया जाता है - क्लाइंट, सर्टिफ़िकेट की पुष्टि नहीं करता. इसका मतलब है कि सर्वर की पहचान पर भरोसा नहीं किया जा सकता. अगर पोर्ट 853 पर सर्वर से TLS कनेक्शन नहीं जोड़ा जा सका, तो स्टब रिज़ॉल्वर पोर्ट 53 पर फिर से डीएनएस सर्वर से बात करने लगता है.
निजता
हमारी निजता नीति, डीएनएस-ओवर-TLS सेवा पर लागू होती है.
हमने 27/06/2019 को डीएनएस-ओवर-TLS सेवा के लिए, ईडीएनएस क्लाइंट सबनेट (ईसीएस) को फिर से चालू कर दिया है. सेवा लॉन्च करते समय, ईसीएस की सुविधा बंद कर दी गई थी.
मानक सहायता
Google का सार्वजनिक डीएनएस, आरएफ़सी 7858 के आधार पर डीएनएस-ओवर-TLS को लागू करता है. इसके अलावा, अच्छी क्वालिटी और कम इंतज़ार की अवधि वाली डीएनएस सेवा देने के लिए, हम नीचे दिए गए सुझावों का भी इस्तेमाल करते हैं.
- TLS 1.3 (आरएफ़सी 8846)
- टीसीपी फ़ास्ट ओपन (आरएफ़सी 7413)
- टीसीपी को लागू करने के लिए डीएनएस ट्रांसपोर्ट की ज़रूरी शर्तें (आरएफ़सी 7766)
इसका इस्तेमाल करना शुरू करें
Android 9 (Pie) या उसके बाद के वर्शन वाले डिवाइस पर इसे कॉन्फ़िगर करने के लिए instructions देखें.
DNS-over-TLS, सिर्फ़ IPv6-Google की सार्वजनिक DNS64 सेवा के साथ भी काम करता है. ध्यान दें कि डीएनएस64 को एक से ज़्यादा नेटवर्क से अटैच करने वाले मोबाइल डिवाइस के लिए कॉन्फ़िगर करने का सुझाव नहीं दिया जाता. ऐसा इसलिए है, क्योंकि डीएनएस64 आईपीवी6 उपलब्ध होने पर ही काम करता है.