Windows 10 ще поддържа DNS през HTTPS изначално

DNS-over-HTTPS е сравнително млад уеб протокол, внедрен преди около две години. Той има за цел да повиши поверителността и сигурността на потребителите чрез предотвратяване на подслушване и манипулиране на DNS данни от атаки човек в средата чрез използване на HTTPS протокол за криптиране на данните между DoH клиента и базирания на DoH DNS разделител.

Екипът на Windows Core Networking е зает с добавянето на поддръжка на DoH към операционната система. Ето техните ръководни принципи за вземане на решения какъв вид DNS криптиране ще поддържа Windows и как ще бъде конфигурирано.

• Windows DNS трябва да бъде възможно най-частен и функционален по подразбиране, без да е необходим потребител или администраторска конфигурация, тъй като DNS трафикът на Windows представлява моментна снимка на сърфирането на потребителя история. За потребителите на Windows това означава, че тяхното изживяване ще бъде направено възможно най-частно от Windows. За Microsoft това означава, че ще търсим възможности за криптиране на DNS трафик на Windows, без да променяме конфигурираните DNS резолвери, зададени от потребители и системни администратори.
• Потребителите и администраторите на Windows, които се интересуват от поверителността, трябва да бъдат насочени към настройките на DNS, дори ако все още не знаят какво е DNS. Много потребители се интересуват от контролиране на поверителността си и търсят настройки, ориентирани към поверителността, като разрешения за приложения за камера и местоположение, но може да не са наясно или да не знаят за настройките на DNS или да разбират защо имат значение и може да не ги търсят в устройството настройки.
• Потребителите и администраторите на Windows трябва да могат да подобрят своята DNS конфигурация с възможно най-малко прости действия. Трябва да гарантираме, че не изискваме специализирани познания или усилия от страна на потребителите на Windows, за да се възползват от криптирания DNS. Корпоративните политики и действията на потребителския интерфейс трябва да бъдат нещо, което трябва да правите само веднъж, вместо да трябва да поддържате.
• Потребителите и администраторите на Windows трябва изрично да разрешат възстановяване от криптиран DNS, след като са конфигурирани. След като Windows е конфигуриран да използва криптиран DNS, ако не получава други инструкции от потребители или администратори на Windows, трябва да приеме, че връщането към некриптиран DNS е забранено.

Въз основа на тези принципи екипът прави планове за приемане DNS през HTTPS (или DoH) в Windows DNS клиента. Като платформа Windows Core Networking се стреми да даде възможност на потребителите да използват каквито и протоколи, от които се нуждаят, така че сме отворени за други опции като DNS през TLS (DoT) в бъдеще. Към момента те работят в подкрепа на DoH, защото това ще им позволи да използват повторно съществуващата си HTTPS инфраструктура.

За първия важен етап те ще използват DoH за DNS сървъри, които Windows вече е конфигуриран да използва. Вече има няколко публични DNS сървъра, които поддържат DoH и ако потребител на Windows или администратор на устройство конфигурира един от тях днес, Windows просто ще използва класически DNS (без криптиране) към този сървър. Въпреки това, тъй като тези сървъри и техните DoH конфигурации са добре известни, Windows може автоматично да надстрои до DoH, докато използва същия сървър. Екипът твърди следните ползи от тази промяна:

• Няма да правим никакви промени в кой DNS сървър Windows е конфигуриран да използва от потребителя или мрежата. Днес потребителите и администраторите решават какъв DNS сървър да използват, като избират мрежата, към която се присъединяват, или посочват директно сървъра; този етап няма да промени нищо по въпроса. Много хора използват ISP или публичен DNS филтриране на съдържание, за да правят неща като блокиране на обидни уебсайтове. Безшумната промяна на DNS сървърите, на които има доверие да изпълняват резолюции на Windows, може по невнимание да заобиколи тези контроли и да разочарова нашите потребители. Вярваме, че администраторите на устройства имат право да контролират къде отива техният DNS трафик.
• Много потребители и приложения, които искат поверителност, ще започнат да получават предимствата, без да се налага да знаят за DNS. В съответствие с принцип 1, DNS заявките стават по-частни без действие нито от приложения, нито от потребители. Когато и двете крайни точки поддържат криптиране, няма причина да чакате за разрешение за използване на криптиране!
• Можем да започнем да виждаме предизвикателствата при налагането на линията за предпочитане на неуспех на резолюцията пред некриптиран резервен вариант. В съответствие с принцип 4, тази употреба на DoH ще бъде наложена, така че сървър, потвърден от Windows, че поддържа DoH, няма да бъде консултиран чрез класически DNS. Ако това предпочитание за поверителност пред функционалността причини някакви смущения в общите уеб сценарии, ще разберем рано.

В бъдеще Windows 10 ще включва възможността за изрично конфигуриране на DoH сървъри.

Източник