DNS over HTTPS (DoH): ما هو ولماذا يهمك

في كل مرة تكتب فيها عنوان موقع ويب في متصفحك، يرسل جهازك سؤالًا: "ما عنوان IP لهذا النطاق؟" يُعرف هذا السؤال باستعلام DNS، وعلى مدى عقود كان يسافر عبر الإنترنت كنصٍّ عادي غير مشفر — مكشوفًا تمامًا لأي شخص يراقب الشبكة. جاء DNS over HTTPS (DoH) لحلّ هذه المشكلة.

ما هو DoH

DNS over HTTPS هو بروتوكول يُغلّف استعلامات DNS الخاصة بك داخل حركة مرور HTTPS المشفّرة — وهو النوع ذاته من التشفير المستخدم حين تسجّل دخولك إلى حساب مصرفك أو تتسوق عبر الإنترنت. بدلًا من إرسال طلبات DNS الخاصة بك بشكل مكشوف، تُحزَّم داخل اتصالات HTTPS آمنة وتُرسل إلى محلّل DNS متوافق مع DoH. بالنسبة للمراقبين الخارجيين، تبدو هذه الحركة كتصفّح ويب عادي.

تم تقنين DoH من قِبل فريق هندسة الإنترنت (IETF) في وثيقة RFC 8484 عام 2018، وقد تم دمجه منذ ذلك الحين في المتصفحات الرئيسية مثل Firefox وChrome وEdge، فضلًا عن أنظمة التشغيل كـ Windows 11 وAndroid.

كيف يعمل

إليك تدفق العملية الأساسي:

  1. تكتب `example.com` في متصفحك.
  2. بدلًا من إرسال طلب UDP كنص عادي إلى خادم DNS الخاص بمزود خدمة الإنترنت عبر المنفذ 53، يرسل جهازك طلب HTTPS مشفّرًا إلى محلّل DoH (مثل `1.1.1.1` من Cloudflare أو `8.8.8.8` من Google) عبر المنفذ 443.
  3. يبحث المحلّل عن عنوان IP ويرسل الإجابة للخلف — لا تزال مشفّرة عبر HTTPS.
  4. يتصل متصفحك بالموقع.

نظرًا لأن الاستعلام يستخدم المنفذ 443 (منفذ HTTPS القياسي)، فإنه يندمج مع حركة مرور الويب العادية. لا يستطيع المراقب السلبي على شبكتك — سواء كان مزود خدمة الإنترنت، أو مسؤول شبكة، أو شخص يُشغّل نقطة اتصال Wi-Fi مزيّفة — تمييز عمليات بحث DNS الخاصة بك بسهولة عن أي حركة مرور HTTPS أخرى.

لماذا يهم مستخدمي VPN

قد تتساءل: إذا كنت أستخدم VPN بالفعل، فهل أحتاج إلى DoH؟ هذا سؤال وجيه، والإجابة تعتمد على إعدادك.

بدون VPN، يُمثّل DoH تحسينًا كبيرًا للخصوصية. لم يعد بإمكان مزود خدمة الإنترنت تسجيل كل نطاق تزوره بسهولة. هذا مهم بشكل خاص نظرًا لأن مزودي خدمة الإنترنت في كثير من الدول مسموح لهم — بل ومطلوب منهم أحيانًا — جمع بيانات التصفح وبيعها.

مع VPN، يجب أن تُوجَّه استعلامات DNS الخاصة بك عبر نفق VPN وتُحلَّل بواسطة خوادم DNS الخاصة بمزود VPN. ومع ذلك، إذا انقطع اتصال VPN أو كان مُهيَّأً بشكل خاطئ، قد يحدث تسرّب DNS — يعود جهازك إلى إرسال استعلامات DNS خارج النفق، مما يكشف نشاطك. استخدام DoH إلى جانب VPN (أو اختيار VPN يُطبّق DoH داخليًا) يُضيف طبقة حماية إضافية ضد تلك التسربات.

تجدر الإشارة أيضًا إلى أن DoH وحده لا يُغني عن VPN. لا يُشفّر DoH إلا مرحلة البحث عن النطاق. يظل عنوان IP الفعلي الخاص بك مرئيًا للمواقع التي تزورها، ولا يزال بإمكان مزود خدمة الإنترنت رؤية عناوين IP التي تتصل بها — فقط ليس بالضرورة أسماء النطاقات التي أطلقت تلك الاتصالات.

أمثلة عملية وحالات استخدام

  • شبكة Wi-Fi العامة: عند الاتصال بشبكة مقهى أو مطار، يمنع DoH مشغّل الشبكة من تسجيل استعلامات DNS الخاصة بك أو إعادة توجيهها إلى خادم معدَّل.
  • تجاوز الرقابة الأساسية: يحجب بعض مزودي خدمة الإنترنت المواقع باعتراض استعلامات DNS. يستطيع DoH تجاوز الحجب على مستوى DNS لأن الاستعلامات مشفّرة وتُرسل إلى محلّل خارجي. (ملاحظة: لا يزال بإمكان الجهات الرقابية المصمّمة حجب محلّلات DoH عبر عنوان IP.)
  • الحماية على مستوى المتصفح: يتيح لك Firefox وChrome تفعيل DoH مباشرةً في الإعدادات، مما يمنحك DNS مشفّرًا حتى حين لا تكون على VPN.
  • بيئات المؤسسات: كثيرًا ما يتجادل مسؤولو الشبكات بشأن DoH لأنه قد يتجاوز ضوابط DNS الداخلية. تُهيّئ كثير من المؤسسات DoH للتوجيه عبر محلّلات داخلية معتمدة بدلًا من المحلّلات العامة.

DoH مقابل DoT

كثيرًا ما يُقارَن DoH بـ DNS over TLS (DoT)، وهو بروتوكول تشفير DNS آخر. يُشفّر كلاهما حركة مرور DNS، لكن DoT يستخدم منفذًا مخصصًا (853) يسهل على مسؤولي الشبكات تحديده وتصفيته. يندمج DoH في حركة مرور HTTPS العادية، مما يجعل حجبه أصعب — وهذا ما يجعله قوةً من حيث الخصوصية، وإشكاليةً من حيث التحكم في الشبكة في آنٍ واحد.