فائر فاکس ڈویلپرز HTTPS پر DNS کے لیے ٹیسٹنگ سپورٹ کی تکمیل کے بارے میں (DoH, DNS over HTTPS) اور ستمبر کے آخر میں امریکی صارفین کے لیے اس ٹیکنالوجی کو بطور ڈیفالٹ فعال کرنے کے ارادے کے بارے میں۔ ایکٹیویشن کو بتدریج کیا جائے گا، ابتدائی طور پر چند فیصد صارفین کے لیے، اور اگر کوئی مسئلہ نہیں ہے، تو آہستہ آہستہ 100% تک بڑھایا جائے گا۔ ایک بار جب امریکہ کا احاطہ کیا جائے گا، DoH کو دوسرے ممالک میں شامل کرنے پر غور کیا جائے گا۔
سال بھر کیے جانے والے ٹیسٹوں نے سروس کی قابل اعتمادی اور اچھی کارکردگی کو ظاہر کیا، اور اس نے کچھ ایسے حالات کی نشاندہی کرنا بھی ممکن بنایا جہاں DoH مسائل کا باعث بن سکتا ہے اور ان سے نمٹنے کے لیے حل تیار کر سکتا ہے (مثال کے طور پر، الگ الگ مواد کی ترسیل کے نیٹ ورکس، پیرنٹل کنٹرولز اور کارپوریٹ اندرونی DNS زونز میں ٹریفک کی اصلاح کے ساتھ)۔
ڈی این ایس ٹریفک کو خفیہ کرنے کی اہمیت کا اندازہ صارفین کے تحفظ کے لیے بنیادی طور پر اہم عنصر کے طور پر لگایا جاتا ہے، اس لیے یہ طے کیا گیا کہ DoH کو بطور ڈیفالٹ فعال کیا جائے، لیکن پہلے مرحلے پر صرف ریاستہائے متحدہ کے صارفین کے لیے۔ DoH کو فعال کرنے کے بعد، صارف کو ایک انتباہ موصول ہوگا جو، اگر چاہے تو، مرکزی DoH DNS سرورز سے رابطہ کرنے سے انکار کرنے اور فراہم کنندہ کے DNS سرور کو غیر خفیہ کردہ درخواستیں بھیجنے کی روایتی اسکیم پر واپس آنے کی اجازت دے گا (ڈی این ایس حل کرنے والوں کے تقسیم شدہ انفراسٹرکچر کے بجائے، DoH کسی مخصوص DoH سروس کے لیے پابند استعمال کرتا ہے، جسے ناکامی کا واحد نقطہ سمجھا جا سکتا ہے)۔
اگر DoH کو چالو کیا جاتا ہے تو، پیرنٹل کنٹرول سسٹمز اور کارپوریٹ نیٹ ورکس جو انٹرانیٹ ایڈریس اور کارپوریٹ میزبانوں کو حل کرنے کے لیے صرف اندرونی نیٹ ورک کے لیے DNS نام کا ڈھانچہ استعمال کرتے ہیں ان میں خلل پڑ سکتا ہے۔ اس طرح کے نظاموں کے مسائل کو حل کرنے کے لیے، چیک کا ایک نظام شامل کیا گیا ہے جو خود بخود DoH کو غیر فعال کر دیتا ہے۔ ہر بار جب براؤزر لانچ ہوتا ہے یا سب نیٹ تبدیلی کا پتہ چلتا ہے تو چیک کیے جاتے ہیں۔
معیاری آپریٹنگ سسٹم ریزولور استعمال کرنے کے لیے ایک خودکار واپسی بھی فراہم کی جاتی ہے اگر DoH کے ذریعے ریزولوشن کے دوران ناکامیاں واقع ہوتی ہیں (مثال کے طور پر، اگر DoH فراہم کنندہ کے ساتھ نیٹ ورک کی دستیابی میں خلل پڑتا ہے یا اس کے بنیادی ڈھانچے میں ناکامی ہوتی ہے)۔ اس طرح کے چیکوں کا مطلب قابل اعتراض ہے، کیونکہ کوئی بھی حملہ آوروں کو نہیں روکتا جو حل کرنے والے کے آپریشن کو کنٹرول کرتے ہیں یا DNS ٹریفک کی انکرپشن کو غیر فعال کرنے کے لیے اسی طرح کے رویے کی نقل کرنے سے ٹریفک میں مداخلت کرنے کی اہلیت رکھتے ہیں۔ سیٹنگز میں "DoH ہمیشہ" آئٹم کو شامل کرکے مسئلہ حل کیا گیا تھا (خاموش طور پر غیر فعال)، سیٹ ہونے پر، خودکار شٹ ڈاؤن لاگو نہیں ہوتا ہے، جو کہ ایک معقول سمجھوتہ ہے۔
انٹرپرائز حل کرنے والوں کی شناخت کرنے کے لیے، غیر معمولی فرسٹ لیول ڈومینز (TLDs) کو چیک کیا جاتا ہے اور سسٹم ریزولور انٹرانیٹ ایڈریس واپس کرتا ہے۔ اس بات کا تعین کرنے کے لیے کہ آیا پیرنٹل کنٹرولز فعال ہیں، exampleadultsite.com نام کو حل کرنے کی کوشش کی جاتی ہے اور اگر نتیجہ اصل IP سے مماثل نہیں ہے، تو یہ سمجھا جاتا ہے کہ بالغوں کے مواد کو بلاک کرنا DNS سطح پر فعال ہے۔ گوگل اور یوٹیوب کے آئی پی ایڈریس کو بھی نشانیوں کے طور پر چیک کیا جاتا ہے تاکہ یہ معلوم کیا جا سکے کہ آیا انہیں restrict.youtube.com،forceafesearch.google.com اور restrictmoderate.youtube.com سے تبدیل کر دیا گیا ہے۔ اضافی موزیلا ایک واحد ٹیسٹ میزبان کو لاگو کریں۔ ، جسے ISPs اور پیرنٹل کنٹرول سروسز DoH کو غیر فعال کرنے کے لیے ایک جھنڈے کے طور پر استعمال کر سکتی ہیں (اگر میزبان کا پتہ نہیں چلتا ہے تو Firefox DoH کو غیر فعال کر دیتا ہے)۔
ایک واحد DoH سروس کے ذریعے کام کرنا ممکنہ طور پر مواد کی ترسیل کے نیٹ ورکس میں ٹریفک کی اصلاح کے ساتھ مسائل کا باعث بھی بن سکتا ہے جو DNS کا استعمال کرتے ہوئے ٹریفک کو متوازن کرتے ہیں (CDN نیٹ ورک کا DNS سرور حل کرنے والے ایڈریس کو مدنظر رکھتے ہوئے جواب پیدا کرتا ہے اور مواد کو حاصل کرنے کے لیے قریب ترین میزبان فراہم کرتا ہے)۔ ایسے CDNs میں صارف کے قریب ترین حل کرنے والے سے DNS استفسار بھیجنے کے نتیجے میں صارف کے قریب ترین میزبان کا پتہ واپس ہو جاتا ہے، لیکن مرکزی حل کرنے والے سے DNS استفسار بھیجنے سے میزبان کا پتہ DNS-over-HTTPS سرور کے قریب ہو جائے گا۔ . عملی طور پر جانچ سے پتہ چلتا ہے کہ CDN کا استعمال کرتے وقت DNS-over-HTTP کے استعمال سے مواد کی منتقلی کے آغاز سے قبل عملی طور پر کوئی تاخیر نہیں ہوئی (تیز رابطوں کے لیے، تاخیر 10 ملی سیکنڈ سے زیادہ نہیں ہوتی تھی، اور اس سے بھی تیز رفتار کارکردگی سست مواصلاتی چینلز پر دیکھی گئی تھی۔ )۔ CDN حل کرنے والے کو کلائنٹ کے مقام کی معلومات فراہم کرنے کے لیے EDNS کلائنٹ سب نیٹ ایکسٹینشن کے استعمال پر بھی غور کیا گیا۔
ہمیں یاد کرنا چاہیے کہ DoH فراہم کنندگان کے DNS سرورز کے ذریعے درخواست کردہ میزبان ناموں کے بارے میں معلومات کے لیک ہونے کو روکنے، MITM حملوں کا مقابلہ کرنے اور DNS ٹریفک کی جعل سازی، DNS سطح پر بلاکنگ کا مقابلہ کرنے، یا اس صورت میں کام کو منظم کرنے کے لیے کارآمد ثابت ہو سکتا ہے۔ DNS سرورز تک براہ راست رسائی ناممکن ہے (مثال کے طور پر، جب کسی پراکسی کے ذریعے کام کرنا)۔ اگر عام صورت حال میں ڈی این ایس کی درخواستیں سسٹم کنفیگریشن میں بیان کردہ ڈی این ایس سرورز کو براہ راست بھیجی جاتی ہیں، تو DoH کی صورت میں، میزبان کے آئی پی ایڈریس کا تعین کرنے کی درخواست HTTPS ٹریفک میں سمیٹی جاتی ہے اور HTTP سرور کو بھیجی جاتی ہے، جہاں حل کرنے والا عمل کرتا ہے۔ ویب API کے ذریعے درخواستیں موجودہ DNSSEC معیار صرف کلائنٹ اور سرور کی توثیق کرنے کے لیے انکرپشن کا استعمال کرتا ہے، لیکن ٹریفک کو رکاوٹ سے محفوظ نہیں رکھتا اور درخواستوں کی رازداری کی ضمانت نہیں دیتا۔
DoH کو about:config میں فعال کرنے کے لیے، آپ کو network.trr.mode متغیر کی ویلیو کو تبدیل کرنا ہوگا، جو فائر فاکس 60 سے سپورٹ کر رہا ہے۔ 0 کی قدر DoH کو مکمل طور پر غیر فعال کر دیتی ہے۔ 1 - DNS یا DoH استعمال کیا جاتا ہے، جو بھی تیز ہو؛ 2 - DoH بطور ڈیفالٹ استعمال ہوتا ہے، اور DNS کو فال بیک آپشن کے طور پر استعمال کیا جاتا ہے۔ 3 - صرف DoH استعمال کیا جاتا ہے؛ 4 - مررنگ موڈ جس میں DoH اور DNS متوازی طور پر استعمال ہوتے ہیں۔ پہلے سے طے شدہ طور پر، CloudFlare DNS سرور استعمال کیا جاتا ہے، لیکن اسے network.trr.uri پیرامیٹر کے ذریعے تبدیل کیا جا سکتا ہے، مثال کے طور پر، آپ "https://dns.google.com/experimental" یا "https://9.9.9.9" سیٹ کر سکتے ہیں۔ .XNUMX/dns-query "
ماخذ: opennet.ru