فائر فاکس ڈویلپرز امریکی صارفین کے لیے ڈیفالٹ کے ذریعے HTTPS (DoH، DNS over HTTPS) موڈ پر DNS کو فعال کرنے کے بارے میں۔ DNS ٹریفک کی خفیہ کاری کو صارفین کی حفاظت میں بنیادی طور پر اہم عنصر سمجھا جاتا ہے۔ آج سے، امریکی صارفین کی تمام نئی تنصیبات ڈیفالٹ کے طور پر فعال ہوں گی۔ موجودہ امریکی صارفین کو چند ہفتوں میں DoH میں تبدیل کر دیا جائے گا۔ یورپی یونین اور دیگر ممالک میں، DoH کو بطور ڈیفالٹ فی الحال فعال کریں۔ .
DoH کو فعال کرنے کے بعد، صارف کو ایک انتباہ ظاہر کیا جاتا ہے، جو اگر چاہے تو، مرکزی DoH DNS سرورز سے رابطہ کرنے سے انکار کرنے اور فراہم کنندہ کے DNS سرور کو غیر خفیہ کردہ سوالات بھیجنے کی روایتی اسکیم پر واپس جانے کی اجازت دیتا ہے۔ DNS حل کرنے والوں کے تقسیم شدہ انفراسٹرکچر کے بجائے، DoH ایک مخصوص DoH سروس کے لیے پابند استعمال کرتا ہے، جسے ناکامی کا ایک نقطہ سمجھا جا سکتا ہے۔ فی الحال، کام دو DNS فراہم کنندگان کے ذریعے پیش کیا جاتا ہے - CloudFlare (پہلے سے طے شدہ) اور .
فراہم کنندہ کو تبدیل کریں یا DoH کو غیر فعال کریں۔ نیٹ ورک کنکشن کی ترتیبات میں۔ مثال کے طور پر، آپ گوگل سرورز تک رسائی کے لیے ایک متبادل DoH سرور "https://dns.google/dns-query"، "https://dns.quad9.net/dns-query" - Quad9 اور "https:// /doh .opendns.com/dns-query" - OpenDNS۔ About:config نیٹ ورک.trr.mode سیٹنگ بھی فراہم کرتا ہے، جس کے ذریعے آپ DoH آپریٹنگ موڈ کو تبدیل کر سکتے ہیں: 0 کی قدر DoH کو مکمل طور پر غیر فعال کر دیتی ہے۔ 1 - DNS یا DoH استعمال کیا جاتا ہے، جو بھی تیز ہو؛ 2 - DoH بطور ڈیفالٹ استعمال ہوتا ہے، اور DNS کو فال بیک آپشن کے طور پر استعمال کیا جاتا ہے۔ 3 - صرف DoH استعمال کیا جاتا ہے؛ 4 - مررنگ موڈ جس میں DoH اور DNS متوازی طور پر استعمال ہوتے ہیں۔
ہمیں یاد کرنے دیں کہ DoH فراہم کنندگان کے DNS سرورز کے ذریعے درخواست کردہ میزبان ناموں کے بارے میں معلومات کے لیک ہونے کو روکنے، MITM حملوں اور DNS ٹریفک کی جعل سازی (مثال کے طور پر، عوامی وائی فائی سے منسلک ہونے پر)، DNS پر بلاکنگ کا مقابلہ کرنے کے لیے مفید ثابت ہو سکتا ہے۔ سطح (DPI سطح پر لاگو ہونے والی بلاکنگ کو نظرانداز کرنے کے علاقے میں DoH VPN کی جگہ نہیں لے سکتا) یا کام کو منظم کرنے کے لیے اگر براہ راست DNS سرورز تک رسائی ناممکن ہو (مثال کے طور پر، پراکسی کے ذریعے کام کرتے وقت)۔ اگر عام صورت حال میں ڈی این ایس کی درخواستیں سسٹم کنفیگریشن میں بیان کردہ ڈی این ایس سرورز کو براہ راست بھیجی جاتی ہیں، تو DoH کی صورت میں، میزبان کے آئی پی ایڈریس کا تعین کرنے کی درخواست HTTPS ٹریفک میں سمیٹی جاتی ہے اور HTTP سرور کو بھیجی جاتی ہے، جہاں حل کرنے والا عمل کرتا ہے۔ ویب API کے ذریعے درخواستیں موجودہ DNSSEC معیار صرف کلائنٹ اور سرور کی توثیق کرنے کے لیے خفیہ کاری کا استعمال کرتا ہے، لیکن ٹریفک کو رکاوٹ سے محفوظ نہیں رکھتا اور درخواستوں کی رازداری کی ضمانت نہیں دیتا۔
فائر فاکس میں پیش کردہ DoH فراہم کنندگان کو منتخب کرنے کے لیے، قابل اعتماد DNS حل کرنے والوں کو، جس کے مطابق DNS آپریٹر صرف سروس کے آپریشن کو یقینی بنانے کے لیے ریزولوشن کے لیے موصول ہونے والے ڈیٹا کا استعمال کر سکتا ہے، لاگز کو 24 گھنٹے سے زیادہ ذخیرہ نہیں کرنا چاہیے، تیسرے فریق کو ڈیٹا منتقل نہیں کر سکتا اور اس کے بارے میں معلومات ظاہر کرنے کا پابند ہے۔ ڈیٹا پروسیسنگ کے طریقے سروس کو قانون کے ذریعہ فراہم کردہ حالات کے علاوہ DNS ٹریفک کو سنسر، فلٹر، مداخلت یا بلاک نہ کرنے پر بھی اتفاق کرنا چاہیے۔
DoH کو احتیاط کے ساتھ استعمال کیا جانا چاہیے۔ مثال کے طور پر، روسی فیڈریشن میں، فائر فاکس میں پیش کردہ ڈیفالٹ DoH سرور mozilla.cloudflare-dns.com سے منسلک IP ایڈریس 104.16.248.249 اور 104.16.249.249، в 10.06.2013 جون XNUMX کو سٹیورپول عدالت کی درخواست پر۔
DoH والدین کے کنٹرول کے نظام، کارپوریٹ سسٹمز میں داخلی نام کی جگہوں تک رسائی، مواد کی ترسیل کے اصلاح کے نظام میں راستے کا انتخاب، اور غیر قانونی مواد کی تقسیم اور اس کے استحصال کا مقابلہ کرنے کے سلسلے میں عدالتی احکامات کی تعمیل جیسے شعبوں میں بھی مسائل پیدا کر سکتا ہے۔ نابالغ اس طرح کے مسائل کو دور کرنے کے لیے، ایک چیک سسٹم نافذ کیا گیا ہے اور اس کا تجربہ کیا گیا ہے جو خود بخود کچھ شرائط کے تحت DoH کو غیر فعال کر دیتا ہے۔
انٹرپرائز حل کرنے والوں کی شناخت کرنے کے لیے، غیر معمولی فرسٹ لیول ڈومینز (TLDs) کو چیک کیا جاتا ہے اور سسٹم ریزولور انٹرانیٹ ایڈریس واپس کرتا ہے۔ اس بات کا تعین کرنے کے لیے کہ آیا پیرنٹل کنٹرولز فعال ہیں، exampleadultsite.com نام کو حل کرنے کی کوشش کی جاتی ہے اور اگر نتیجہ اصل IP سے مماثل نہیں ہے، تو یہ سمجھا جاتا ہے کہ بالغوں کے مواد کو بلاک کرنا DNS سطح پر فعال ہے۔ گوگل اور یوٹیوب کے آئی پی ایڈریس کو بھی نشانیوں کے طور پر چیک کیا جاتا ہے تاکہ یہ معلوم کیا جا سکے کہ آیا انہیں restrict.youtube.com،forceafesearch.google.com اور restrictmoderate.youtube.com سے تبدیل کر دیا گیا ہے۔ یہ چیک ان حملہ آوروں کو اجازت دیتے ہیں جو حل کرنے والے کے آپریشن کو کنٹرول کرتے ہیں یا ٹریفک میں مداخلت کرنے کے قابل ہوتے ہیں تاکہ ڈی این ایس ٹریفک کی خفیہ کاری کو غیر فعال کرنے کے لیے اس طرح کے رویے کی تقلید کریں۔
ایک واحد DoH سروس کے ذریعے کام کرنا ممکنہ طور پر مواد کی ترسیل کے نیٹ ورکس میں ٹریفک کی اصلاح کے ساتھ مسائل کا باعث بھی بن سکتا ہے جو DNS کا استعمال کرتے ہوئے ٹریفک کو متوازن کرتے ہیں (CDN نیٹ ورک کا DNS سرور حل کرنے والے ایڈریس کو مدنظر رکھتے ہوئے جواب پیدا کرتا ہے اور مواد کو حاصل کرنے کے لیے قریب ترین میزبان فراہم کرتا ہے)۔ ایسے CDNs میں صارف کے قریب ترین حل کرنے والے سے DNS استفسار بھیجنے کے نتیجے میں صارف کے قریب ترین میزبان کا پتہ واپس ہو جاتا ہے، لیکن مرکزی حل کرنے والے سے DNS استفسار بھیجنے سے میزبان کا پتہ DNS-over-HTTPS سرور کے قریب ہو جائے گا۔ . عملی طور پر جانچ سے پتہ چلتا ہے کہ CDN کا استعمال کرتے وقت DNS-over-HTTP کے استعمال سے مواد کی منتقلی کے آغاز سے قبل عملی طور پر کوئی تاخیر نہیں ہوئی (تیز رابطوں کے لیے، تاخیر 10 ملی سیکنڈ سے زیادہ نہیں ہوتی تھی، اور اس سے بھی تیز رفتار کارکردگی سست مواصلاتی چینلز پر دیکھی گئی تھی۔ )۔ CDN حل کرنے والے کو کلائنٹ کے مقام کی معلومات فراہم کرنے کے لیے EDNS کلائنٹ سب نیٹ ایکسٹینشن کے استعمال پر بھی غور کیا گیا۔
ماخذ: opennet.ru