TLS-over-DNS

Giriş

Geleneksel DNS sorguları ve yanıtları, şifreleme olmadan UDP veya TCP üzerinden gönderilir. Bu özellik, izinsiz dinleme ve adres sahteciliğine karşı savunmasızdır (DNS tabanlı internet filtrelemesi dahil). Özyineli çözümleyicilerden istemcilere gönderilen yanıtlar, istenmeyen veya kötü amaçlı değişikliklere karşı en savunmasız olanlardır. Öte yandan yinelemeli çözümleyiciler ile yetkili alan adı sunucuları arasındaki iletişimlerde genellikle ek koruma kullanılır.

Google Açık DNS, bu sorunları çözmek için RFC 7858 tarafından belirtilen şekilde, TLS şifrelemeli TCP bağlantıları üzerinden DNS çözümlemesi sunar. DNS-over-TLS, istemciler ve çözümleyiciler arasındaki gizliliği ve güvenliği iyileştirir. Bu, DNSSEC'yi tamamlar ve DNSSEC tarafından doğrulanmış sonuçları, istemciye gönderilirken değiştirilme veya adres sahteciliğinden korur.

İşleyiş Şekli

Bir istemci sistemi, iki profilden biriyle DNS-over-TLS kullanabilir: katı veya fırsatlı gizlilik. Katı gizlilik profiliyle kullanıcı, TLS üzerinden DNS hizmeti için bir DNS sunucusu adı (RFC 8310'daki kimlik doğrulama alan adı) yapılandırır ve istemcinin, DNS sunucusu ile 853 numaralı bağlantı noktasında güvenli bir TLS bağlantısı oluşturabilmesi gerekir. Güvenli bağlantı kurulamaması ciddi bir hatadır ve istemci için DNS hizmetinin olmamasına neden olur.

Fırsatsal gizlilik profiliyle, DNS sunucusu IP adresi doğrudan kullanıcı tarafından yapılandırılabilir veya yerel ağdan (DHCP ya da başka yollarla) edinilebilir. İstemci çözümleyici, 853 numaralı bağlantı noktasında belirtilen DNS sunucusu ile güvenli bir bağlantı kurmaya çalışır. Güvenli bir bağlantı kurulursa bu, kullanıcının yol üzerindeki pasif gözlemcilerden gelen sorguları için gizlilik sağlar. İstemci sunucunun kimliğini doğrulamadığından aktif bir saldırgandan korunmaz. İstemci 853 numaralı bağlantı noktasında güvenli bağlantı kuramazsa hiçbir güvenlik veya gizlilik olmaksızın UDP veya TCP üzerinden standart DNS bağlantı noktası 53 üzerinden DNS sunucusuyla iletişim kurmaya devam eder. Fırsatsal Gizlilik kullanımı, katı gizlilik profilinin yaygın şekilde benimsenmesi beklentisiyle daha fazla gizliliğin kademeli olarak dağıtılmasını desteklemek amacıyla tasarlanmıştır.

Katı bir gizlilik profili kullanılırken, saplama çözümleyicileri aşağıdaki adımları uygulayarak DNS üzerinden TLS bağlantısı oluşturur.

1. Sorun giderici, DNS-over-TLS çözümleyici adıyla dns.google yapılandırıldı.
2. Pist çözümleyicisi, yerel DNS çözümleyiciyi kullanarak dns.google için IP adreslerini alır.
3. Şablon çözümleyicisi, bu IP adresindeki 853 numaralı bağlantı noktasına TCP bağlantısı kurar.
4. Sorun giderici, Google Açık DNS çözümleyici ile TLS el sıkışması başlatır.
5. Google Açık DNS sunucusu, TLS sertifikasını güvenilir bir kök sertifikaya kadar TLS sertifikalarından oluşan tam bir zincirle birlikte döndürür.
6. Pist çözümleyicisi, sunulan sertifikalara göre sunucunun kimliğini doğrular.
   • Kimlik doğrulanamazsa DNS ad çözümlemesi başarısız olur ve saplama çözümleyici bir hata döndürür.
7. TLS bağlantısı kurulduktan sonra, saplama çözümleyicisi, bir Google Açık DNS sunucusu arasında güvenli bir iletişim yoluna sahip olur.
8. Artık sorun giderici, bağlantı üzerinden DNS sorguları gönderebilir ve yanıt alabilir.

Fırsatsal bir gizlilik profili kullanırken istemci, ilk olarak sunucuyla güvenli bir TLS bağlantısı oluşturmayı dener. Bu işlem, önemli bir fark dışında yukarıdakine benzer şekilde yapılır: istemci tarafından sertifika doğrulaması gerçekleştirilmez. Bu, sunucunun kimliğine güvenilemeyeceği anlamına gelir. 853 numaralı bağlantı noktasından sunucuyla TLS bağlantısı kurulamazsa saplayıcı çözümleyici, 53 numaralı bağlantı noktasındaki DNS sunucusuyla iletişim kurmaya geri döner.

Gizlilik

Gizlilik politikamız, TLS üzerinden DNS hizmeti için geçerlidir.

27.06.2019 tarihinde DNS-over-TLS hizmeti için EDNS istemci alt ağını (ECS) yeniden etkinleştirdik. ECS, hizmet kullanıma sunulduğunda devre dışı bırakılmıştı.

Standart Desteği

Google Açık DNS, RFC 7858'e göre DNS-over-TLS uygular. Ayrıca, yüksek kaliteli ve düşük gecikmeli bir DNS hizmeti sağlamak için aşağıdaki önerileri destekliyoruz.

• TLS 1.3 (RFC 8846)
• TCP Hızlı Açma (RFC 7413)
• TCP Üzerinden DNS Aktarımı Uygulama Şartları (RFC 7766)

Kullanmaya Başlayın

Android 9 (Pie) veya sonraki sürümleri çalıştıran bir cihazda yapılandırmak için instructions bakın.

DNS-over-TLS, yalnızca IPv6 Google Public DNS64 hizmeti için de desteklenir. DNS64 yalnızca IPv6 kullanılabilir olduğunda çalıştığından DNS64'ün birden çok ağa bağlanacak bir mobil cihaz için yapılandırılmasının önerilmez.