DNS Gatekeeping Muammosi: Shifrlangan Protokollar va Kalit Tarqatish

Internetda qimmatli qulf sotib olib, kalitini topolmay qolganingiz bormi? Hozir millionlab foydalanuvchilar shu holatda.

Shifrlangan DNS protokollari — DNS-over-HTTPS (DoH) va DNS-over-TLS (DoT) — DNS zaharlash muammosini hal qilishi kerak edi. Bu protokollar domen so‘rovlarini shifrlab, ISP va senzorlar siz qaysi saytga kirayotganingizni ko‘ra olmasligini ta’minlashi kerak edi.

Lekin asosiy muammo shu: shifrlash faqat unga ega bo‘lsangiz ishlaydi.

Senzorlar Shifrlashni Sindirish O‘rniga Kalitlarni Bloklay Boshladi

Oddiy senzura usuli — kontentni bloklash. Ammo aqlli raqiblar boshqa yo‘l topishdi: shifrlashni sindirish o‘rniga, kalit almashinuvini oldini olish.

2021-yilda Xitoydan kelgan GitHub foydalanuvchilari shunday holatni payqashdi. Serverlar ishlayotgan edi, lekin ulanishlar vaqti-vaqti bilan uzilib turardi. Bu vaqtinchalik bloklash edi — bir necha daqiqadan keyin qayta ochilardi. Natija esa oddiy bloklash bilan bir xil: odamlar foydalanishdan voz kechadi.

Hozirgi senzura quyidagi darajalarda ishlaydi:

• Oddiy DNS: Soxta IP manzillar bilan zaharlanadi.
• DNS-over-TLS (port 853): To‘liq bloklanadi.
• DNS-over-HTTPS (port 443): Faqat vaqtinchalik bloklanadi. Bir so‘rov — bir necha daqiqa blok. Takrorlansa, xizmat ishlamay qoladi.

Asosiy Arxitektura Muammosi

Bu hujum shuni ko‘rsatadiki, biz shifrlangan tizimlarni yaratganmiz, lekin kalitlarni xavfsiz tarqatishni hal qilmaganmiz. Agar kimdir tarmoqni nazorat qilsa, kalit almashinuvini ham to‘xtatishi mumkin.

Masalan, Encrypted Client Hello (ECH) protokoli SNI (Server Name Indication) maydonini shifrlab, siz qaysi saytga kirmoqchi ekanligingizni yashiradi. Lekin avval bu kalitni DNS orqali olish kerak. Demak, shifrlangan DNS ishlatish uchun avval oddiy DNS so‘rovi qilish kerak — bu esa ushlab qolinishi mumkin.

Web Dasturchilar va Platformalar Uchun Nima Degani Bu?

Agar siz NameOcean kabi domen xizmatlari bilan ishlasangiz, quyidagi taxminlarga e’tibor bering:

• DNS yozuvlaringiz hamma joyda ochiq emas. Ba’zi mamlakatlarda ularga kirish imkoni yo‘q.
• Shifrlangan protokollar faqat shifrlashni himoya qiladi, kalit tarqatishni emas.
• Zamonaviy senzura to‘liq bloklash emas — vaqtinchalik to‘xtatish ham yetarli.

Qanday Yechimlar Bor?

Hozir quyidagi yo‘nalishlarda ish olib borilmoqda:

• Markazlashmagan kalit tarqatish: DNSSEC va blockchain orqali kalitlarni tarqatish.
• Obfuskatsiya: Shifrlangan DNS so‘rovlarini oddiy HTTPS trafikka o‘xshatish.
• Anycast va geografik tarqatish: Serverlarni dunyo bo‘ylab tarqatib, bloklashni qiyinlashtirish.
• Ilova darajasidagi yechimlar: Kalitlarni ilova ichida saqlash.

Bu yechimlarning har biri o‘zining tezlik, qulaylik va murakkablik jihatlariga ega.

Asosiy Xulosa

Maxfiylik tizimlari faqat texnik emas — ular tarmoq arxitekturasi, siyosat va raqiblarning fikrlash uslubiga bog‘liq.

Tizim yaratar ekaniz, ikki qadam oldindan o‘ylab ko‘ring: kimdir tarmoqni nazorat qilsa, foydalanuvchilar bu xizmatga qanday kiradi? Va bunga qanday qarshi choralar bor?

DNS gatekeeping muammosi hali hal bo‘lmagan. Yechimlar esa murakkabroq, tarqoqroq va foydalanuvchidan ko‘proq e’tibor talab qiladi. Bu esa hozirgi dunyo sharoitida tabiiy holat.