آیا قابلیت DNS-over-HTTPS در گوگل کروم امنیت شما را بهبود می‌بخشد؟

با وجود پیشرفت‌های چشمگير در زمینه رمزگذاری ترافیک و نقل و انتقالات داده در اینترنت، اما همچنان همه ترافیک اینترنت شما رمزگذاری نمی‌شود. سیستم نام دامنه یا به اختصار DNS پروتکلی است که از آن برای تبدیل نام دامنه (مثل google.com) به آدرس آی‌پی مرتبط با آن (مثل 74.125.157.99) استفاده می‌شود. اما این پروتکل در تبادلات اینترنتی همچنان به صورت متن ساده باقی می‌ماند و می‌تواند چیزهای زیادی درباره عادات‌ وبگردی شما نشان دهد.

پروتکل DNS-over-HTTPS (DoH) که طی سال‌های اخیر معرفی شده است، با اضافه کردن یک لایه رمزگذاری به بسته‌های DNS شما حریم خصوصی و امنیت تجربه وبگردی شما را بهبود می‌بخشد. فایرفاکس در این زمینه پیشرو بوده و پشتیبانی از DNS-over-HTTPS را از سال 2017 آغاز کرده است. گوگل کروم نیز پشتیبانی از DoH را به نسخه 78 اضافه کرد و قرار است در نسخه 79 کروم این پروتکل به صورت پیش فرض فعال شود.

از آنجا که 65 درصد کاربران اینترنت از مرورگر کروم استفاده می‌کنند، پیاده سازی DoH می‌تواند تاثیر بزرگی در حفظ حریم خصوصی وبگردی داشته باشد. در ادامه با مزايا و محدودیت‌های DNS-over-HTTPS آشنا خواهید شد.

امنیت DNS

در اینترنت (و همین‌طور در شبکه‌های محلی و آف‌لاین) هر کامپیوتر یک آدرس آی‌پی مختص به خود دارد. وقتی کامپیوترها می‌خواهند با یکدیگر ارتباط برقرار کنند (مثل بازدید از یک وب‌سایت) باید آدرس آی‌پی مقصد را مشخص کنند. اما مغز انسان برای به خاطر سپاری یک دنباله از اعداد چندان خوب عمل نمی‌کند (فرض کنید قرار باشد صدها آدرس آی‌پی را به خاطر بسپارید).

به همین دلیل متخصصان شبکه پروتکل DNS را ایجاد کردند که به شما اجازه می‌دهد از نام‌های دامنه (که به یاد آوردن آن برای انسان خیلی راحت‌تر است) برای ارجاع به کامپیوترهای درون یک شبکه استفاده کنید. هر زمان که شما آدرس یک وب‌سایت را تایپ می‌کنید، کامپیوتر شما یک درخواست DNS به تفسیر کننده DNS شما (معمولا فراهم کننده خدمات اینترنت شما) ارسال می‌کند. در پاسخ، تفسیر کننده DNS شما با مجموعه‌ای از سرورهای DNS ارتباط برقرار می‌کند تا آدرس آی‌پی وب‌سایت یا سرویسی که شما می‌خواهید به آن متصل شويد را پیدا کند.

درخواست DNS که شما ارسال می‌کنید رمزگذاری نشده است. این درخواست شامل دامنه مورد نظر شما به همراه بخشی از آدرس آی‌پی خود شما است. هر کسی که در حال گوش دادن به ترافیک اینترنت شما باشد می‌تواند از وب‌سایت‌هایی که شما بازدید می‌کنید مطلع شود. این شامل فراهم کننده خدمات اینترنت (ISP) شما، سرورهایی که درخواست شما را به سرورهای DNS هدایت می‌کنند، مالک شبکه وای‌فای که شما در حال استفاده از آن هستید، سازمان‌های دولتی یا هر شخص دیگری که از توانایی نصب و تنظیم ابزار نظارت بر شبکه برخوردار است می‌شود.

در برخی موارد، مجرمان سایبری می‌توانند این درخواست را ردگیری کرده و یک آدرس آی‌پی جعلی را به جای آن بازگردانند تا شما را به یک وب سایت مخرب هدایت کنند.

DNS-over-HTTP چگونه کار می‌کند؟

ایده اصلی پشت DoH این است که یک لایه رمزگذاری به درخواست DNS شما اضافه کند تا محتوای آن برای دیگران قابل مشاهده نباشد. وقتی شما از DNS-over-HTTPS استفاده می‌کنید مرورگر شما درخواست‌های DNS شما را رمزگذاری کرده و آنها در بسته‌های HTTPS محفوظ نگه می‌دارد. سپس آنها را به یک تفسیر کننده DoH مورد اطمینان ارسال می‌کند که باقی کارها از جمله ارسال پیام به سرورهای DNS و تبدیل نام سایت به آدرس آی‌پی مرتبط با آن را انجام دهد.

به این شکل افرادی که در حال استراق سمع ترافیک اینترنت شما هستند دیگر قادر نخواهند بود ترافیک DNS شما را ردیابی کنند. همچنین سرورهای DoH اقدامات احتياطی لازم را انجام می‌دهند تا از آشکار شدن آدرس آی‌پی مورد نظر شما جلوگیری شود.

چگونه DNS-over-HTTPS را در گوگل کروم فعال کنیم؟

گوگل پشتیبانی از DNS-over-HTTPS را از نسخه 78 به کروم اضافه کرده است و هنوز مراحل آزمایشی خود را پشت سر می‌گذارد، به همین دلیل فعال کردن آن چندان راحت نیست. برای دستیابی به قابلیت‌های آزمایشی شما باید در نوار آدرس کروم عبارت chrome://flags را تایپ کنید تا قابلیت‌های آزمایشی کروم را مشاهده کنید.

قابلیتی تحت عنوان Secure DNS lookups را پیدا کنید و آن را روی وضعیت Enabled قرار دهید. برای پیدا کردن سریع این گزینه می‌توانید از نوار جستجوی بالای صفحه استفاده کنید. همچنین برای دسترسی مستقیم به تنظیمات DoH در کروم می‌توانید عبارت chrome://flags#dns-over-https را در نوار آدرس وارد کنید.

بعد از فعال کردن این قابلیت، برای راه اندازی DNS-over-HTTPS شما باید گوگل کروم را یک بار دیگر اجرا کنید.

چگونه DNS-over-HTTP در گوگل کروم کار می‌کند؟

یک نکته ریز در اینجا وجود دارد. برای ایمن کردن درخواست‌های DNS تنها فعال کردن قابلیت DoH در گوگل کروم کفایت نمی‌کند. استفاده از DNS-over-HTTPS به دو چیز نیاز دارد:

• یک اپلیکیشن با قابلیت DoH فعال (مثل گوگل کروم)
• یک سرور DoH (یا تفسیر کننده DoH)

در حال حاضر چندین تفسیر کننده DoH مورد اطمینان وجود دارد که آن جمله می‌توان به Cloudflare (IP: 1.1.1.1) و Google (IP: 8.8.8.8) اشاره کرد. اما این به معنای آن نیست که کامپیوتر شما در حال استفاده از آنها است.

به طور پیش فرض اغلب کامپیوترها از تفسیر کننده DNS پیش فرض تامین کننده خدمات اینترنت خود یا آن چیزی که مدیر شبکه تعیین کرده استفاده می‌کنند. در چنین شرایطی تفسیر کننده شما از DoH پشتیبانی نمی‌کند و فعال کردن آن در گوگل کروم فایده‌ای ندارد.

برای این که ببینید آیا DNS-over-HTTPS به طور کامل روی مرورگر شما فعال شده است یا خیر، به صفحه بررسی امنیتی Cloudflare برويد و روی دکمه Check My Browser کلیک کنید. در صورتی که تنظیمات DoH شما کار خود را به درستی انجام داده باشد، شما یک علامت تایید بررسی سبز رنگ در کنار ستون Secure DNS مشاهده خواهید کرد.

در صورتی که بعد از فعال کردن قابلیت DoH در کروم ستون Secure DNS همچنان با یک آیکون قرمز یا نارنجی نمایش داده می‌شود، باید تنظیمات DNS کامپیوتر خود را به طور دستی به 1.1.1.1 یا 8.8.8.8 تغییر دهید.

ملاحظات امنیتی DNS-over-HTTPS

با وجودی که DNS-over-HTTPS امنیت وبگردی شما در گوگل کروم را بهبود مي‌بخشد، اما یک راهکار کامل و ایده‌ال نیست:

DoH از ردگیری ISP جلوگیری نمی‌کند: یکی از دغدغه‌های اصلی کاربران اینترنت این است که ISP آنها بتواند عادات وبگردی آنها را ردگیری کرده و این اطلاعات را به شرکت‌های تبلیغاتی بفروشد. خواندن درخواست‌های DNS یکی از اصلی‌ترین کارهایی است که ISPها برای ردگیری وبگردی شما انجام می‌دهند. اما حتی اگر آنها به بسته‌های DNS شما هم دسترسی نداشته باشند، باز هم می‌توانند بفهمند شما از کدام وب‌سایت‌ها بازدید کرده‌اید، زیرا درخواست HTTPS شما هنوز هم از طریق آنها عبور می‌کند. هر چند HTTPS محتوای درخواست‌ها از قبیل داده فرم (نام کاربری، کلمه عبور، آدرس، شماره تلفن و غیره) و همین‌طور جزئیات صفحه را رمزگذاری می‌کند، اما همچنان می‌توان به نام دامنه وب‌سایتی که شما بازدید می‌کنید دسترسی پیدا کرد.

DoH ممکن است بعضی از ابزارهای امنیتی را مختل کند: خیلی از ابزارهای امنیتی سمت کاربر و فایروال‌های هوشمند از درخواست DNS برای شناسایی و جلوگیری از اتصال به دامنه‌های مخرب استفاده می‌کنند. DoH ممکن است این عملکرد از این ابزارها را از کار بیاندازد.

DoH از داده‌های وب‌سایت‌های رمزگذاری نشده محافظت نمی‌کند: در حالی که مدت زمان زیادی است که از کدگذاری وب می‌گذرد، اما همچنان خیلی از وب‌سایت‌ها هستند که از پروتکل رمزگذاری نشده HTTP استفاده می‌کنند. این وب‌سایت‌ها تمام اطلاعات شما را در معرض استراق سمع و گیت‌وی‌های شبکه قرار می‌دهند. استفاده از DNS-over-HTTPS از اطلاعاتی که شما با این وب‌سایت‌ها مبادله می‌کنید محافظت نخواهد کرد.

با این وجود DNS-over-HTTPS یک راهکار امنیتی خوب برای بهبود حفظ حريم خصوصی در مرورگر کروم و سایر مرورگرها محسوب می‌شود. اگر شما به دنبال حفظ کامل حريم خصوصی خود هستید باید به سراغ یک شبکه خصوصی مجازی برويد که یک لایه کدگذاری به تمام ترافیک شبکه شما اضافه کرده و حتی دامنه‌هایی که شما با آن ارتباط برقرار می‌کنید را هم پنهان می‌کند.