Google, daha iyi performans sağlarken DNS sorgularının gizliliğini artırmak için Android 11 ve sonraki sürümlerde HTTP/3 üzerinden DNS (DoH3) protokolü desteği ekledi.
HTTP/3, önceki sürümler gibi TCP yerine UDP üzerine kurulu çoklanmış bir aktarım protokolü olan QUIC’e dayanan Köprü Metni Aktarım Protokolünün üçüncü ana sürümüdür.
Yeni protokol, bir paket kaybolduğunda veya yeniden sıralandığında internet veri işlemlerini yavaşlatan, mobil cihazlarda dolaşırken ve sık sık bağlantı değiştirirken oldukça yaygın olan “hat başı engelleme” sorununu çözüyor.
Android, daha önce DNS sorgu gizliliğini desteklemek için sürüm 9 ve sonraki sürümler için TLS üzerinden DNS’yi (DoT) destekledi, ancak bu sistem, şifreleme yükü nedeniyle kaçınılmaz olarak DNS isteklerini yavaşlattı.
Ayrıca DoT, ağları değiştirirken yeni bağlantının tamamen yeniden müzakere edilmesini gerektirir. Buna karşılık, QUIC, askıya alınmış bir bağlantıyı tek bir RTT’de sürdürebilir (bir sinyalin hedefe ulaşması için gereken süre).
DoH3 ile DoT’nin performans yüklerinin çoğu kaldırılıyor ve Google’ın ölçümlerine göre, medyan sorgu süreleri için performansta %24’lük bir artış sağlıyor. Bazı durumlarda Google, performansta %44’e varan artışlar gördü.
Ek olarak, DoH3, zaman aşımlarının geçmesini beklemek yerine hemen paket teslimi hata uyarıları oluşturan proaktif akış kontrol mekanizmaları sayesinde geleneksel DNS’den daha iyi performans göstererek güvenilmez ağlara yardımcı olabilir.
DNS-over-HTTPS, DNS isteklerini gerçekleştirirken daha fazla gizlilik sağlamak için birçok DNS sağlayıcısı tarafından zaten geniş çapta desteklenmektedir.
Google, DNS-over-HTTP/3 Android’i ve DNS-over-QUIC’i artık önerilen bir standart olarak desteklediğinden, kısa süre içinde DNS sağlayıcıları tarafından daha fazla benimsendiğini göreceğiz.
Ancak, bu özelliğin lansmanının bir parçası olarak Android cihazlar, halihazırda QUIC üzerinden DNS’yi destekleyen Cloudflare DNS ve Google Public DNS’yi kullanacak.
Gelecekte Google, belirli yapılandırmanız için en iyi sağlayıcıyı otomatik olarak seçen Tanımlanmış Çözümleyicilerin Keşfi (DDR) aracılığıyla diğer DoH3 sağlayıcıları için destek eklemeyi planlamaktadır.
Güvenli ve yalın uygulama
DoH3’ün bir diğer üstünlük noktası, DoT’nin dördü yerine tek bir çalışma zamanı iş parçacığı kullanan 1.640 satır kod içeren yalın bir sistemle sonuçlanan, uygulamasında Rust’ın kullanılmasıdır.
“Yeni istekleri, gelen paket olaylarını, kontrol sinyallerini ve zamanlayıcıları aynı anda işlemek için Tokio zaman uyumsuz çerçevesini kullanarak sorgu motorunu oluşturduk. C++’da bu, muhtemelen birden çok iş parçacığı veya dikkatle hazırlanmış bir olay döngüsü gerektirebilirdi.” – Google.
Sonuç, birkaç bağımlılığa sahip, performanslı, düşük seviyeli bir sistemdir, hafiftir ve saldırganların kötüye kullanmak için kullanabileceği hata sayısını azaltan, bellek açısından güvenli bir dil kullanır.
Açarak yaymak
Bunu okurken, Android 11 ve sonraki sürümleri çalıştıran tüm Android cihazlar, Google DNS ve Cloudflare DNS için DoH3 kullanmalıdır (daha fazlası yakında eklenecektir).
Ayrıca, satıcıları Google Play sistem güncellemelerini erken benimseyen Android 10 cihazlarının bir alt kümesi de bu yeni özelliği alacak.
Android bu kısmı otomatik olarak halledeceğinden, son kullanıcıların yeni özelliği etkinleştirmek için herhangi bir işlem yapması gerekmez.