مقدمة
يتم إرسال طلبات البحث والردود التقليدية لنظام أسماء النطاقات عبر بروتوكول UDP أو بروتوكول TCP بدون تشفير. هذه الحسابات عرضة للتنصت والانتحال (بما في ذلك فلترة الإنترنت المستندة إلى نظام أسماء النطاقات). تكون الردود التي ترسِلها برامج التعيين المتكرر إلى العملاء أكثر عرضة للتغييرات غير المرغوب فيها أو الضارة، في حين أن الاتصالات بين برامج التعيين المتكرر وخوادم الأسماء الموثوقة غالبًا ما تتضمن حماية إضافية.
لمعالجة هذه المشاكل، يقدّم "نظام أسماء النطاقات العام من Google" التحويل باستخدام نظام أسماء النطاقات عبر اتصالات بروتوكول التحكم بالنقل المشفّرة باستخدام بروتوكول أمان طبقة النقل (TLS)، كما هو محدَّد في RFC 7858. يعمل DNS-over-TLS على تحسين الخصوصية والأمان بين البرامج وبرامج التعيين. يُكمّل هذا الإجراء ملحقات أمان نظام أسماء النطاقات (DNSSEC) ويحمي النتائج التي تم التحقّق منها باستخدام ملحقات أمان نظام أسماء النطاقات (DNSSEC) من أي تعديل أو انتحال في طريق وصوله إلى العميل.
آلية العمل
يمكن لنظام العميل استخدام معالجة نظام أسماء النطاقات عبر بروتوكول أمان طبقة النقل (TLS) من خلال أحد الملفين الشخصيين: الصارم أو الخصوصية الفرصة. باستخدام الملف الشخصي الصارم للخصوصية، يضبط المستخدم اسم خادم نظام أسماء النطاقات (اسم نطاق المصادقة في RFC 8310) لخدمة نظام أسماء النطاقات عبر بروتوكول أمان طبقة النقل (TLS)، ويجب أن يكون العميل قادرًا على إنشاء اتصال بروتوكول أمان طبقة النقل (TLS) آمن على المنفذ 853 إلى خادم نظام أسماء النطاقات. ويُعد الفشل في إنشاء اتصال آمن خطأ صعب ولن يؤدي إلى أي خدمة نظام أسماء نطاقات للعميل.
باستخدام الملف الشخصي الاستغلالي للخصوصية، يمكن للمستخدم إعداد عنوان IP لخادم نظام أسماء النطاقات مباشرةً أو الحصول عليه من الشبكة المحلية (باستخدام بروتوكول DHCP أو بعض الوسائل الأخرى). يحاول برنامج تعيين العميل إنشاء اتصال آمن على المنفذ 853 بخادم نظام أسماء النطاقات المحدد. إذا تم إنشاء اتصال آمن، فإن ذلك يوفر خصوصية لاستعلامات المستخدم من المراقبين السلبيين على المسار. ونظرًا لأن العميل لا يتحقق من صحة الخادم، فهو غير محمي من مهاجم نشط. وإذا لم يتمكن العميل من إنشاء اتصال آمن على المنفذ 853، سيعاود الاتصال بخادم نظام أسماء النطاقات على منفذ نظام أسماء النطاقات القياسي 53 عبر UDP أو TCP بدون أي أمان أو خصوصية. والهدف من استخدام "الخصوصية الانتهازية" هو دعم النشر المتزايد لمستوى الخصوصية بهدف تبنّي الملف الشخصي الصارم للخصوصية على نطاق واسع.
عند استخدام ملف شخصي صارم للخصوصية، تنشئ برامج تعيين الكعب اتّصالًا بنظام أسماء النطاقات عبر بروتوكول أمان طبقة النقل (TLS) باستخدام الخطوات التالية.
- يتم ضبط برنامج حل التنويع اللغوي باستخدام اسم برنامج تعيين نظام أسماء النطاقات عبر بروتوكول أمان طبقة النقل (TLS)
dns.google
. - يحصل برنامج تعيين الوصل على عناوين IP لـ
dns.google
باستخدام برنامج تعيين نظام أسماء النطاقات المحلي. - يجري محلل التبعثر اتصال TCP بالمنفذ 853 في عنوان IP هذا.
- يبدأ محلل الكعب عملية تأكيد الاتصال عبر بروتوكول أمان طبقة النقل (TLS) باستخدام برنامج تعيين نظام أسماء النطاقات العام من Google.
- يعرض خادم "نظام أسماء النطاقات العام من Google" شهادة بروتوكول أمان طبقة النقل (TLS) مع سلسلة كاملة من شهادات بروتوكول أمان طبقة النقل (TLS) وصولاً إلى شهادة جذر موثوق بها.
- يتحقّق برنامج تعيين ال مكعب من هوية الخادم بناءً على الشهادات المقدمة.
- إذا لم يتم التحقق من الهوية، سيتعذر تحليل اسم نظام أسماء النطاقات وسيعرض محلل الكعب رسالة خطأ.
- بعد إنشاء اتصال بروتوكول أمان طبقة النقل (TLS)، يتوفر لدى برنامج تعيين التردّدات مسار اتصال آمن بين خادم نظام أسماء النطاقات العام من Google.
- يمكن الآن لأداة تعيين الكعب إرسال طلبات بحث نظام أسماء النطاقات وتلقي الردود عبر الاتصال.
عند استخدام ملف شخصي غير مناسب للخصوصية، يحاول العميل أولاً إنشاء اتصال آمن عبر بروتوكول أمان طبقة النقل (TLS) إلى الخادم. يتم ذلك بشكل مشابه لما سبق مع وجود اختلاف واحد مهم: لا يتم إجراء التحقق من صحة الشهادة من قبل العميل. وهذا يعني أنه لا يمكن الوثوق بهوية الخادم. وإذا تعذّر إنشاء اتصال بروتوكول أمان طبقة النقل (TLS) على المنفذ 853 إلى الخادم، يعود محلل الكعب إلى التحدث إلى خادم نظام أسماء النطاقات عبر المنفذ 53.
الخصوصية
تنطبق سياسة الخصوصية على خدمة معالجة نظام أسماء النطاقات عبر بروتوكول أمان طبقة النقل (TLS).
في 27 حزيران (يونيو) 2019/2027، أعدنا تفعيل الشبكة الفرعية لعميل EDNS (ECS) لخدمة نظام أسماء النطاقات عبر بروتوكول أمان طبقة النقل (TLS). تم إيقاف ECS عند إطلاق الخدمة.
دعم المعايير
يطبّق نظام أسماء النطاقات العام من Google نظام أسماء النطاقات عبر بروتوكول أمان طبقة النقل (TLS) استنادًا إلى RFC 7858. بالإضافة إلى ذلك، نوفّر الاقتراحات التالية لتوفير خدمة نظام أسماء نطاقات عالية الجودة وسريعة الاستجابة.
- طبقة النقل الآمنة 1.3 (RFC 8846)
- TCP Fast Open (RFC 7413)
- متطلبات تنفيذ النقل عبر TCP (بروتوكول RFC 7766) لنظام أسماء النطاقات (DNS)
بدء استخدامه
راجِع instructions لضبطه على جهاز يعمل بنظام التشغيل Android 9 (Pie) أو إصدار أحدث.
إنّ بروتوكول DNS-over-TLS متوافق أيضًا مع خدمة DNS64 العامة من Google التي تستخدم بروتوكول IPv6 فقط. تجدر الإشارة إلى أنّه لا يُنصح بإعداد نظام أسماء النطاقات (DNS64) لجهاز جوّال سيتم توصيله بشبكات متعددة، لأنّ نظام أسماء النطاقات (DNS64) لا يعمل إلا عند توفُّر بروتوكول IPv6.