DNS over TLS (DoT): الحفاظ على خصوصية عمليات البحث عن النطاقات
في كل مرة تكتب فيها عنوان موقع ويب في متصفحك، يرسل جهازك استعلام DNS — وهو في جوهره سؤال يوجهه إلى خادم مفاده: "ما عنوان IP الخاص بهذا النطاق؟" تقليدياً، تنتقل هذه الاستعلامات عبر الإنترنت بنص عادي وغير مشفر، مما يعني أن مزود خدمة الإنترنت ومديري الشبكات أو أي شخص يراقب اتصالك يمكنه رؤية المواقع التي تحاول زيارتها بالضبط. صُمِّم DNS over TLS، المعروف اختصاراً بـ DoT، لحل هذه المشكلة.
ما هو؟
DNS over TLS هو بروتوكول شبكي يُغلِّف استعلامات DNS داخل اتصال مشفر بتقنية TLS (Transport Layer Security) — وهي التقنية ذاتها التي تحمي موقع البنك الإلكتروني الخاص بك أو تسجيل الدخول إلى بريدك الإلكتروني. بدلاً من إرسال طلبات "أين يوجد هذا الموقع؟" بشكل مكشوف، يضمن DoT تشفيرها قبل مغادرتها جهازك. جرى توحيده رسمياً عام 2016 بموجب RFC 7858، وقد اعتمده منذ ذلك الحين كبار موفري خدمة DNS بما في ذلك Cloudflare (1.1.1.1) وGoogle (8.8.8.8) وغيرهم.
كيف يعمل؟
في العادة، يعمل حركة مرور DNS عبر المنفذ 53 ويستخدم UDP أو TCP دون أي تشفير. يغير DoT هذا الأمر من خلال إنشاء اتصال TLS مخصص عبر المنفذ 853. إليك الآلية الأساسية:
- يبدأ جهازك (أو محلل DNS) إجراء مصافحة TLS مع خادم DNS، مع التحقق من هويته باستخدام الشهادات الرقمية.
- بمجرد إنشاء النفق المشفر، ينتقل استعلام DNS عبره — مخفياً تماماً عن أي مراقب خارجي.
- يعالج خادم DNS الطلب ويرسل الرد عبر القناة المشفرة ذاتها.
- يستخدم جهازك عنوان IP المُعاد للاتصال بالموقع.
نظراً لأن DoT يعمل على منفذ مخصص (853)، يستطيع مديرو الشبكات وجدران الحماية تحديد حركة مرور DoT بسهولة وحجبها إن أرادوا ذلك. وهذا يُعدّ أحد الفوارق الرئيسية بينه وبين DNS over HTTPS (DoH) المشابه له، إذ يمزج الأخير حركة مرور DNS مع حركة مرور الويب العادية عبر المنفذ 443 مما يجعل حجبه أصعب.
لماذا يهم مستخدمي VPN؟
ربما تتساءل — إذا كنت أستخدم VPN بالفعل، فهل أحتاج إلى القلق بشأن DoT؟ هذا سؤال وجيه. يقوم VPN بتشفير كل حركة مرورك، بما فيها استعلامات DNS، عند توجيهها بشكل صحيح. غير أن ثمة فروقاً دقيقة مهمة:
- تسربات DNS: إذا لم يكن عميل VPN مُهيَّأً بشكل صحيح، فقد تتجاوز طلبات DNS أحياناً نفق VPN المشفر وتتجه مباشرة إلى محلل مزود الخدمة بنص عادي. يمكن لتسرب DNS أن يكشف نشاط التصفح لديك حتى حين تظن أنك محمي. يوفر DoT طبقة تشفير إضافية تساعد في الحماية من ذلك.
- البيئات الخالية من VPN: لا يستخدم الجميع VPN في كل الأوقات. على شبكات Wi-Fi المفتوحة وفي العمل أو عند استخدام بيانات الجوال، يحمي DoT استعلامات DNS بشكل مستقل عن VPN.
- مراقبة مزودي الخدمة وتقييد السرعة: بدون DNS مشفر، يمكن لمزود خدمة الإنترنت تسجيل كل نطاق تزوره وربما بيع تلك البيانات الوصفية أو استخدامها لتقييد خدمات بعينها. يمنعهم DoT من قراءة تلك الاستعلامات.
أمثلة عملية وحالات استخدام
أمان الشبكة المنزلية: يعني تكوين جهاز التوجيه أو محلل DNS المحلي لاستخدام DoT (بتوجيهه نحو محلل يركز على الخصوصية كـ Cloudflare أو Quad9) أن كل جهاز على شبكتك يستفيد من عمليات بحث DNS مشفرة — دون الحاجة إلى تثبيت أي شيء إضافي على كل جهاز.
خصوصية الجوال: يتضمن Android 9 والإصدارات الأحدث ميزة "Private DNS" مدمجة تدعم DoT بشكل أصلي. يمكنك تفعيلها من الإعدادات وتوجيه جميع استعلامات DNS عبر محلل مشفر دون أي تطبيق خارجي.
شبكات الشركات: تستخدم فرق تقنية المعلومات DoT لمنع الموظفين أو المهاجمين على الشبكة من اعتراض استعلامات DNS الداخلية، مما يقلل من مخاطر انتحال DNS أو هجمات الوسيط.
الصحفيون والناشطون: في المناطق التي تشهد رقابة مكثفة على الإنترنت، يُضيف تشفير استعلامات DNS طبقة خصوصية ذات معنى، مما يجعل من الصعب على أنظمة المراقبة رسم صورة عن السلوك الرقمي استناداً إلى حركة مرور DNS وحدها.
لا يُعدّ DoT حلاً شاملاً للخصوصية بمفرده — إذ لا تزال حركة مرور الويب الفعلية تحتاج إلى HTTPS أو VPN للحماية الكاملة — لكنه يسد ثغرة يُغفل عنها كثيراً في أمان الإنترنت اليومي.