گوگل در حال افزودن ویژگی امنیتی DNS over TLS به سیستم‌عامل اندروید است.

بدون شک تأمین‌کننده‌های سرویس اینترنتِ^(۱) شما یا مهاجمان در سطح شبکه^(۲) نمی‌توانند از ارتباطات https جاسوسی کنند.

اما این نکته حائز اهمیت است که ISP ها همچنان می‌توانند تمامی درخواست‌های DNS شما را ببینند و این کار به آن‌ها اجازه می‌دهد بفهمند که شما چه از وب‌سایت‌هایی بازدید کرده‌اید.

گوگل در حال کار بر روی یک ویژگی امنیتی جدید برای سیستم‌عامل اندروید است که می‌تواند از ترافیک اینترنت شما نسبت به حملات جاسوسی^(۳) شبکه محافظت کند.

تقریباً هر فعالیتی در اینترنت با یک درخواست DNS آغاز می‌شود که یک ساختار اساسی و بنیادیِ اینترنت است. DNS به‌عنوان یک دفترچه تلفن اینترنتی عمل می‌کند که آدرس‌های اینترنتی قابل‌خواندن برای انسان را در برابر آدرس‌های IP آن‌ها را قرار می‌دهد.

درخواست‌های DNS و پاسخ‌ها به‌صورت متنِ شفاف^(۴) (با استفاده از UDP یا TCP) و بدون رمزگذاری ارسال می‌شوند، که باعث می‌شود آن‌ها را در معرض استراق سمع قرار داده و حریم خصوصی در معرض خطر قرار گیرد.

ISPها به‌طور پیش‌فرض درخواست‌های DNS از سرورهای خود را مورد بررسی قرار می‌دهند. بنابراین وقتی شما نام یک وب‌سایت را در مرورگر خود وارد می‌کنید، ابتدا درخواست DNS به سرورهای DNS آن‌ها رفته تا آدرس IP وب‌سایت موردنظر را پیدا کند و درنهایت این اطلاعات (metadata) را به ISP‌های شما می‌دهد.

علاوه بر این، افزودنی‌های امنیتی DNS که به‌عنوان DNSSEC شناخته می‌شوند تنها صحتِ داده را ارائه می‌دهند و نه حفظ حریم شخصی را.

به‌منظور حل این مشکل، نیروی کاری مهندسی اینترنت^(۵) (IETF) سال گذشته یک ویژگی آزمایشی به نام DNS over TLS یا RFC 7858 را پیشنهاد کرد[۱] که به‌طور مشابه در https هم کار می‌کند.

درست مثل‌اینکه پروتکل رمزنگاری TLS ارتباطات HTTPS را رمزنگاری می‌کند، DNS over TLS به‌طور چشمگیری امنیت حریم خصوصی را با جستجوهای DNS تأییدشده و end-to-end بالا می‌برد.

گوگل گزارش کرده است که افزودن ویژگی DNS over TLS به پروژه منبع باز اندروید[۲] (AOSP)، که در حال حاضر در مرحله آزمایشی است، به کاربران گوشی‌های هوشمند اجازه می‌دهد تا این ویژگی را فعال یا غیرفعال کنند.

توسعه‌دهندگان Xda در یک گزارش در این رابطه گفته‌اند[۳]: “احتمالاً، اگر چنین گزینه‌ای به Developer Options اضافه شود، بدین معناست که در حال آزمایش است و ممکن است در نسخه بعدی اندروید مانند نسخه ۸٫۱ عرضه شود.”

بااین‌حال، فقط فعال کردن ویژگی DNS over TLS از اینکه ISP شما بتواند تشخیص دهد که شما چه وب‌سایت‌هایی را بازدید کرده‌اید، جلوگیری نمی‌کند.

همچنین نشان‌دهنده نام سرور^(۶) (SNI) که یک افزونه مربوط به پروتکل TLS است، برای ISP ها مشخص می‌کند که کدام نام میزبان در ابتدای فرایند handshake توسط مرورگر مورد تماس قرار گرفته است.

بنابراین برای ناشناس بودن کامل، کاربران هنوز هم نیاز به استفاده از یک سرویس VPN ایمن و مطمئن به همراه یک پروتکل DNS over TLS دارند.

منابع

[۱] https://tools.ietf.org/html/rfc7858

[۲]https://android-review.googlesource.com/#/q/topic:dns-dev-opt+(status:open+OR+status:merged)

[۳] https://www.xda-developers.com/android-dns-over-tls-website-privacy

[۴] https://thehackernews.com/2017/10/android-dns-over-tls.html

(۱) Internet Service Providers (ISPs)
(۲) network-level hackers
(۳) spoofing
(۴) clear text
(۵) Internet Engineering Task Force (IETF)
(۶) Server Name Indication