ভূমিকা
প্রথাগত DNS প্রশ্ন এবং প্রতিক্রিয়া এনক্রিপশন ছাড়াই UDP বা TCP এর মাধ্যমে পাঠানো হয়। এটি ইভড্রপিং এবং স্পুফিং (ডিএনএস-ভিত্তিক ইন্টারনেট ফিল্টারিং সহ) ঝুঁকিপূর্ণ। ক্লায়েন্টদের কাছে পুনরাবৃত্ত সমাধানকারীদের প্রতিক্রিয়াগুলি অবাঞ্ছিত বা দূষিত পরিবর্তনগুলির জন্য সবচেয়ে ঝুঁকিপূর্ণ, যখন পুনরাবৃত্তিমূলক সমাধানকারী এবং প্রামাণিক নাম সার্ভারগুলির মধ্যে যোগাযোগগুলি প্রায়শই অতিরিক্ত সুরক্ষা অন্তর্ভুক্ত করে৷
এই সমস্যাগুলির সমাধান করার জন্য, Google পাবলিক DNS RFC 7858 দ্বারা নির্দিষ্ট করা TLS-এনক্রিপ্ট করা TCP সংযোগগুলির উপর DNS রেজোলিউশন অফার করে। DNS-ওভার-TLS ক্লায়েন্ট এবং সমাধানকারীদের মধ্যে গোপনীয়তা এবং নিরাপত্তা উন্নত করে। এটি DNSSEC-কে পরিপূরক করে এবং DNSSEC-প্রমাণিত ফলাফলগুলিকে ক্লায়েন্টের পথে পরিবর্তন বা স্পুফিং থেকে রক্ষা করে।
কিভাবে এটা কাজ করে
একটি ক্লায়েন্ট সিস্টেম দুটি প্রোফাইলের একটির সাথে DNS-ওভার-TLS ব্যবহার করতে পারে: কঠোর বা সুবিধাবাদী গোপনীয়তা। কঠোর গোপনীয়তা প্রোফাইলের সাথে, ব্যবহারকারী DNS-ওভার-TLS পরিষেবার জন্য একটি DNS সার্ভার নাম ( RFC 8310- এ প্রমাণীকরণ ডোমেন নাম ) কনফিগার করে এবং ক্লায়েন্টকে অবশ্যই DNS সার্ভারে 853 পোর্টে একটি নিরাপদ TLS সংযোগ তৈরি করতে সক্ষম হতে হবে। একটি নিরাপদ সংযোগ স্থাপনে ব্যর্থতা একটি কঠিন ত্রুটি এবং এর ফলে ক্লায়েন্টের জন্য কোন DNS পরিষেবা থাকবে না।
সুবিধাবাদী গোপনীয়তা প্রোফাইলের সাথে, DNS সার্ভার আইপি ঠিকানাটি ব্যবহারকারীর দ্বারা সরাসরি কনফিগার করা হতে পারে বা স্থানীয় নেটওয়ার্ক থেকে প্রাপ্ত হতে পারে (DHCP বা অন্য কোন উপায় ব্যবহার করে)। ক্লায়েন্ট সমাধানকারী নির্দিষ্ট DNS সার্ভারে 853 পোর্টে একটি নিরাপদ সংযোগ স্থাপন করার চেষ্টা করে। যদি একটি নিরাপদ সংযোগ স্থাপন করা হয়, তাহলে এটি পথের প্যাসিভ পর্যবেক্ষকদের কাছ থেকে ব্যবহারকারীর প্রশ্নের জন্য গোপনীয়তা প্রদান করে। যেহেতু ক্লায়েন্ট সার্ভারের সত্যতা যাচাই করে না এটি একটি সক্রিয় আক্রমণকারী থেকে সুরক্ষিত নয়। যদি ক্লায়েন্ট পোর্ট 853-এ একটি নিরাপদ সংযোগ স্থাপন করতে না পারে, তবে এটি কোনো নিরাপত্তা বা গোপনীয়তা ছাড়াই UDP বা TCP-এর মাধ্যমে স্ট্যান্ডার্ড DNS পোর্ট 53-এ DNS সার্ভারের সাথে যোগাযোগ করতে ফিরে আসে। সুবিধাবাদী গোপনীয়তার ব্যবহার কঠোর গোপনীয়তা প্রোফাইলকে ব্যাপকভাবে গ্রহণ করার লক্ষ্যে বর্ধিত গোপনীয়তার ক্রমবর্ধমান স্থাপনাকে সমর্থন করার উদ্দেশ্যে।
একটি কঠোর গোপনীয়তা প্রোফাইল ব্যবহার করার সময়, স্টাব সমাধানকারীরা নিম্নলিখিত পদক্ষেপগুলির সাথে একটি DNS-ওভার-TLS সংযোগ স্থাপন করে৷
- স্টাব সমাধানকারীটি DNS-over-TLS সমাধানকারী নাম
dns.google
দিয়ে কনফিগার করা হয়েছে। - স্টাব সমাধানকারী স্থানীয় DNS সমাধানকারী ব্যবহার করে
dns.google
এর জন্য IP ঠিকানা(গুলি) পায়৷ - স্টাব সমাধানকারী সেই আইপি ঠিকানায় পোর্ট 853 এর সাথে একটি TCP সংযোগ তৈরি করে।
- স্টাব রিজলভারটি Google পাবলিক ডিএনএস রিসোলভারের সাথে একটি TLS হ্যান্ডশেক শুরু করে৷
- Google পাবলিক DNS সার্ভার একটি বিশ্বস্ত রুট শংসাপত্র পর্যন্ত TLS শংসাপত্রের একটি সম্পূর্ণ চেইন সহ তার TLS শংসাপত্র ফেরত দেয়।
- স্টাব সমাধানকারী উপস্থাপিত শংসাপত্রের উপর ভিত্তি করে সার্ভারের পরিচয় যাচাই করে।
- যদি পরিচয় যাচাই করা না যায়, DNS নামের রেজোলিউশন ব্যর্থ হয় এবং স্টাব সমাধানকারী একটি ত্রুটি ফেরত দেয়।
- TLS সংযোগ প্রতিষ্ঠিত হওয়ার পরে, স্টাব রিজলভারের একটি Google পাবলিক DNS সার্ভারের মধ্যে একটি নিরাপদ যোগাযোগের পথ থাকে।
- এখন স্টাব সমাধানকারী DNS প্রশ্ন পাঠাতে পারে এবং সংযোগে প্রতিক্রিয়া পেতে পারে।
একটি সুবিধাবাদী গোপনীয়তা প্রোফাইল ব্যবহার করার সময়, ক্লায়েন্ট প্রথমে সার্ভারে একটি নিরাপদ TLS সংযোগ তৈরি করার চেষ্টা করে। এটি একটি গুরুত্বপূর্ণ পার্থক্যের সাথে উপরের মত একইভাবে করা হয় - ক্লায়েন্ট দ্বারা কোন শংসাপত্রের বৈধতা সঞ্চালিত হয় না। এর মানে সার্ভারের পরিচয় বিশ্বাস করা যায় না। সার্ভারে পোর্ট 853-এ একটি TLS সংযোগ স্থাপন করা না গেলে, স্টাব সমাধানকারী পোর্ট 53-এ DNS সার্ভারের সাথে কথা বলতে ফিরে আসে।
গোপনীয়তা
আমাদের গোপনীয়তা নীতি DNS-ওভার-TLS পরিষেবাতে প্রযোজ্য।
2019/06/27-এ আমরা DNS-ওভার-TLS পরিষেবার জন্য EDNS ক্লায়েন্ট সাবনেট (ECS) পুনরায় সক্রিয় করেছি। সেবা চালু করার সময় ইসিএস নিষ্ক্রিয় করা হয়েছিল।
স্ট্যান্ডার্ড সমর্থন
Google পাবলিক DNS RFC 7858 এর উপর ভিত্তি করে DNS-ওভার-TLS প্রয়োগ করে। উপরন্তু আমরা একটি উচ্চ মানের এবং কম লেটেন্সি DNS পরিষেবা প্রদানের জন্য নিম্নলিখিত সুপারিশগুলিকে সমর্থন করি৷
- TLS 1.3 (RFC 8846)
- TCP ফাস্ট ওপেন (RFC 7413)
- TCP বাস্তবায়নের প্রয়োজনীয়তার উপর DNS পরিবহন (RFC 7766)
এটি ব্যবহার করা শুরু করুন
Android 9 (Pie) বা উচ্চতর ডিভাইসে এটি কনফিগার করার নির্দেশাবলী দেখুন।
DNS-ওভার-TLS শুধুমাত্র IPv6-এর জন্য Google পাবলিক DNS64 পরিষেবা সমর্থিত। মনে রাখবেন যে একাধিক নেটওয়ার্কের সাথে সংযুক্ত একটি মোবাইল ডিভাইসের জন্য DNS64 কনফিগার করার সুপারিশ করা হয় না, কারণ DNS64 শুধুমাত্র তখনই কাজ করে যখন IPv6 উপলব্ধ থাকে।