इस पेज का अनुवाद Cloud Translation API से किया गया है.

DNS-over-TLS

शुरुआती जानकारी

पारंपरिक डीएनएस क्वेरी और जवाब, यूडीपी या टीसीपी पर बिना एन्क्रिप्ट किए भेजे जाते हैं. इससे, चोरी-छिपे जानकारी हासिल करना जोखिम में पड़ सकता है (इसमें डीएनएस पर आधारित इंटरनेट फ़िल्टर भी शामिल है). बार-बार होने वाले रिज़ॉल्वर से मिलने वाले जवाब, अनचाहे या नुकसान पहुंचाने वाले बदलावों के लिए सबसे ज़्यादा संवेदनशील होते हैं. हालांकि, बार-बार होने वाले रिज़ॉल्वर और आधिकारिक नाम सर्वरों के बीच होने वाली बातचीत में अक्सर ज़्यादा सुरक्षा शामिल होती है.

इन समस्याओं को दूर करने के लिए, Google की सार्वजनिक डीएनएस सेवा, RFC 7858 के मुताबिक बताए गए TLS कनेक्शन पर डीएनएस रिज़ॉल्यूशन देती है. DNS-over-TLS, क्लाइंट और रिज़ॉल्वर के बीच निजता और सुरक्षा को बेहतर बनाता है. यह डीएनएसएसईसी को पूरा करता है और डीएनएसएसईसी से पुष्टि किए गए नतीजों को क्लाइंट के आने पर बदले जाने या झूठे नाम से भेजे जाने से रोकता है.

यह कैसे काम करता है

क्लाइंट सिस्टम, दो प्रोफ़ाइलों में से किसी एक के साथ DNS-over-TLS का इस्तेमाल कर सकता है: खास या अवसर वाली निजता. स्ट्रिक्ट निजता प्रोफ़ाइल के साथ, उपयोगकर्ता डीएनएस-ओवर-टीएलएस सेवा के लिए आरएफ़सी 8310 में पुष्टि करने वाले डोमेन का नाम को कॉन्फ़िगर करता है और क्लाइंट को डीएनएस सर्वर पर एक सुरक्षित TLS कनेक्शन बनाना चाहिए. सुरक्षित कनेक्शन नहीं बन पाने में मुश्किल गड़बड़ी होती है और इस वजह से क्लाइंट को कोई डीएनएस सेवा नहीं मिलेगी.

अवसर के हिसाब से निजता प्रोफ़ाइल में, डीएनएस सर्वर आईपी पते को उपयोगकर्ता सीधे कॉन्फ़िगर करता है या स्थानीय नेटवर्क से मिलता है. डीएचसीपी या किसी दूसरे तरीके का इस्तेमाल करके. क्लाइंट रिज़ॉल्वर, बताए गए डीएनएस सर्वर पर, पोर्ट 853 में सुरक्षित कनेक्शन बनाने की कोशिश करता है. अगर सुरक्षित कनेक्शन बनाया जाता है, तो इससे पाथ पर पैसिव ऑब्ज़र्वर की क्वेरी की निजता और निजता मिल जाती है. क्लाइंट की ओर से सर्वर की प्रामाणिकता की पुष्टि नहीं किए जाने की वजह से, उसे किसी सक्रिय हमलावर से सुरक्षित नहीं किया गया है. अगर क्लाइंट पोर्ट 853 पर सुरक्षित कनेक्शन नहीं बना पाता है, तो वह यूडीपी या टीसीपी पर मानक डीएनएस पोर्ट 53 पर डीएनएस सर्वर से संपर्क करता है. अवसर के हिसाब से निजता का इस्तेमाल, निजता की सुरक्षा बढ़ाने के मकसद से किया जाता है. इसमें, निजता को सख्ती से लागू किया जाता है.

किसी सख्त निजता प्रोफ़ाइल का इस्तेमाल करते समय, स्टब रिज़ॉल्वर नीचे बताए गए चरणों के साथ एक DNS-over-TLS कनेक्शन बनाते हैं.

स्टब रिज़ॉल्वर को DNS-over-TLS रिज़ॉल्वर नाम dns.google के साथ कॉन्फ़िगर किया गया है.
स्टब रिज़ॉल्वर, स्थानीय डीएनएस रिज़ॉल्वर का इस्तेमाल करके, dns.google के लिए आईपी पता(पते) हासिल करता है.
स्टब रिज़ॉल्वर, IP 853 पर आने वाले पोर्ट को 853 पोर्ट पर टीसीपी कनेक्शन बनाता है.
स्टब रिज़ॉल्वर, Google के सार्वजनिक डीएनएस रिज़ॉल्वर के साथ TLS हैंडशेक शुरू करता है.
Google का सार्वजनिक डीएनएस सर्वर, TLS सर्टिफ़िकेट के साथ-साथ किसी भरोसेमंद रूट सर्टिफ़िकेट तक, अपना TLS सर्टिफ़िकेट देता है.
स्टब रिज़ॉल्वर, दिए गए सर्टिफ़िकेट के आधार पर सर्वर की पहचान की पुष्टि करता है.
- अगर पहचान की पुष्टि नहीं हो पाती है, तो डीएनएस नाम का रिज़ॉल्यूशन नहीं हो पाता और स्टब रिज़ॉल्वर गड़बड़ी दिखाता है.
TLS कनेक्शन बनने के बाद, स्टब रिज़ॉल्वर का Google की सार्वजनिक डीएनएस सर्वर के बीच सुरक्षित तरीके से बातचीत करने का पाथ होता है.
स्टब रिज़ॉल्वर, डीएनएस क्वेरी भेज सकता है और कनेक्शन की मदद से जवाब पा सकता है.

अवसर के हिसाब से निजता प्रोफ़ाइल का इस्तेमाल करते समय, क्लाइंट सबसे पहले सर्वर में एक सुरक्षित TLS कनेक्शन बनाने की कोशिश करता है. ऐसा ऊपर बताए गए तरीके से किया जाता है, जिसमें एक खास फ़र्क़ होता है - क्लाइंट ने सर्टिफ़िकेट की कोई पुष्टि नहीं की है. इसका मतलब यह है कि सर्वर की पहचान भरोसेमंद नहीं हो सकती. अगर सर्वर पर पोर्ट 853 का TLS कनेक्शन नहीं बनाया जा सकता, तो स्टब रिज़ॉल्वर वापस पोर्ट 53 पर डीएनएस सर्वर से बात करने लगता है.

ध्यान दें: सेवा के हमलों और संसाधन के खत्म होने से इनकार करने के लिए, Google का सार्वजनिक डीएनएस, TLS से ज़्यादा TLS कनेक्शन बंद कर सकता है. हो सकता है कि ये कनेक्शन लंबे समय से इस्तेमाल न किए जा रहे हों या बड़ी संख्या में कनेक्शन मिल रहे हों. अगली बार जब क्लाइंट को डीएनएस क्वेरी करनी होगी, तब स्टब रिज़ॉल्वर ऊपर बताए गए तरीके को दोहराकर Google का सार्वजनिक डीएनएस रिज़ॉल्वर दोबारा कनेक्ट करेगा.

निजता

हमारी निजता नीति, DNS-over-TLS सेवा पर लागू होती है.

हमने 27/06/27 को, DNS-over-TLS सेवा के लिए EDNS क्लाइंट सबनेट (ECS) को फिर से चालू कर दिया है. सेवा के लॉन्च होने पर ECS अक्षम कर दिया गया था.

मानक सहायता

Google का सार्वजनिक डीएनएस, आरएफ़सी 7858 के आधार पर DNS-over-TLS लागू करता है. इसके अलावा, हम अच्छी क्वालिटी वाली और कम इंतज़ार वाली डीएनएस सेवा देने के लिए नीचे दिए गए सुझावों का भी इस्तेमाल करते हैं.

इसका इस्तेमाल शुरू करें

Android 9 (Pie) या इसके बाद के वर्शन वाले डिवाइस पर इसे कॉन्फ़िगर करने के लिए, निर्देश देखें.

DNS-over-TLS को IPv6-सिर्फ़ Google की सार्वजनिक DNS64 सेवा के लिए भी इस्तेमाल किया जा सकता है. ध्यान दें कि ऐसा मोबाइल डिवाइस के लिए DNS64 को कॉन्फ़िगर करने का सुझाव नहीं दिया जाता है जो कई नेटवर्क में अटैच होगा. ऐसा इसलिए है, क्योंकि DNS64 सिर्फ़ IPv6 उपलब्ध होने पर ही काम करता है.