Windows 10 bude nativně podporovat DNS přes HTTPS
DNS-over-HTTPS je relativně mladý webový protokol, implementovaný asi před dvěma lety. Jeho cílem je zvýšit soukromí a bezpečnost uživatelů tím, že zabrání odposlouchávání a manipulaci s údaji DNS útoky typu man-in-the-middle pomocí protokolu HTTPS k šifrování dat mezi klientem DoH a DNS založenými na DoH řešitel.
Tým Windows Core Networking je zaneprázdněn přidáváním podpory DoH do operačního systému. Zde jsou jejich hlavní zásady při rozhodování, jaký druh šifrování DNS bude systém Windows podporovat a jak bude nakonfigurován.
reklama
- DNS systému Windows musí být ve výchozím nastavení maximálně soukromé a funkční bez potřeby uživatele nebo konfiguraci správce, protože provoz Windows DNS představuje snímek procházení uživatele Dějiny. Pro uživatele Windows to znamená, že jejich prostředí bude systémem Windows po vybalení maximálně soukromé. Pro Microsoft to znamená, že budeme hledat příležitosti k šifrování provozu Windows DNS, aniž bychom měnili nakonfigurované překladače DNS nastavené uživateli a správci systému.
- Uživatelé a správci systému Windows, kteří se zajímají o ochranu soukromí, musí být vedeni k nastavení DNS, i když ještě nevědí, co DNS je. Mnoho uživatelů se zajímá o kontrolu svého soukromí a hledá nastavení zaměřená na soukromí, jako jsou oprávnění aplikace k fotoaparátu a umístění, ale nemusí znát nebo znát nastavení DNS nebo chápat, proč na nich záleží, a nemusí je v zařízení hledat nastavení.
- Uživatelé a správci systému Windows musí mít možnost vylepšit konfiguraci DNS pomocí co nejmenšího počtu jednoduchých akcí. Musíme zajistit, že nevyžadujeme specializované znalosti nebo úsilí ze strany uživatelů Windows, aby mohli využívat šifrované DNS. Podnikové zásady a akce uživatelského rozhraní by měly být něčím, co musíte udělat pouze jednou, spíše než je třeba udržovat.
- Uživatelé a správci systému Windows musí po konfiguraci explicitně povolit nouzový režim ze šifrovaného DNS. Jakmile je systém Windows nakonfigurován tak, aby používal šifrované DNS, a pokud neobdrží žádné další pokyny od uživatelů nebo správců Windows, měl by předpokládat, že návrat k nešifrovanému DNS je zakázán.
Na základě těchto principů tým vytváří plány na přijetí DNS přes HTTPS (nebo DoH) v klientovi DNS systému Windows. Jako platforma se Windows Core Networking snaží umožnit uživatelům používat jakékoli protokoly, které potřebují, takže jsme otevřeni tomu, že v budoucnu budeme mít další možnosti, jako je DNS přes TLS (DoT). Od této chvíle pracují na podpoře DoH, protože jim to umožní znovu použít jejich stávající infrastrukturu HTTPS.
Jako první milník použijí DoH pro servery DNS, které je již systém Windows nakonfigurován. Nyní existuje několik veřejných serverů DNS, které podporují DoH, a pokud uživatel systému Windows nebo správce zařízení nakonfiguruje jeden z nich dnes, systém Windows bude pro tento server používat pouze klasické DNS (bez šifrování). Protože jsou však tyto servery a jejich konfigurace DoH dobře známé, může systém Windows automaticky upgradovat na DoH při použití stejného serveru. Tým si z této změny nárokuje následující výhody:
- Nebudeme provádět žádné změny, pro který server DNS byl systém Windows nakonfigurován pro použití uživatelem nebo sítí. Dnes se uživatelé a administrátoři rozhodují, jaký server DNS použít, výběrem sítě, ke které se připojují, nebo přímým zadáním serveru; tento milník na tom nic nezmění. Mnoho lidí používá ISP nebo veřejné filtrování obsahu DNS, aby dělali věci, jako je blokování urážlivých webů. Tichá změna serverů DNS, které jsou důvěryhodné pro provádění rozlišení systému Windows, by mohla tyto ovládací prvky neúmyslně obejít a frustrovat naše uživatele. Věříme, že správci zařízení mají právo řídit, kam směřuje jejich provoz DNS.
- Mnoho uživatelů a aplikací, které chtějí soukromí, začne využívat výhody, aniž by museli vědět o DNS. V souladu s principem 1 se dotazy DNS stávají soukromějšími bez jakékoli akce ze strany aplikací ani uživatelů. Když oba koncové body podporují šifrování, není důvod čekat na povolení k použití šifrování!
- Můžeme začít vidět problémy při prosazování linie upřednostňování selhání řešení před nešifrovaným záložním řešením. V souladu se zásadou 4 bude toto použití DoH vynuceno tak, že server potvrzený systémem Windows, že podporuje DoH, nebude konzultován prostřednictvím klasického DNS. Pokud tato preference soukromí před funkčností způsobí narušení běžných webových scénářů, zjistíme to brzy.
V budoucnu bude Windows 10 obsahovat možnost explicitně konfigurovat servery DoH.
Zdroj