Windows 10 unterstützt DNS über HTTPS nativ
DNS-over-HTTPS ist ein relativ junges Webprotokoll, das vor etwa zwei Jahren implementiert wurde. Es soll die Privatsphäre und Sicherheit der Benutzer erhöhen, indem das Abhören und die Manipulation von DNS-Daten durch verhindert wird Man-in-the-Middle-Angriffe durch Verwendung des HTTPS-Protokolls zum Verschlüsseln der Daten zwischen dem DoH-Client und dem DoH-basierten DNS Resolver.
Das Windows Core Networking-Team ist damit beschäftigt, dem Betriebssystem die DoH-Unterstützung hinzuzufügen. Hier sind ihre Leitprinzipien zum Treffen von Entscheidungen, welche Art von DNS-Verschlüsselung Windows unterstützt und wie sie konfiguriert wird.
Werbung
- Windows-DNS muss standardmäßig so privat und funktional wie möglich sein, ohne dass ein Benutzer erforderlich ist oder Admin-Konfiguration, da der Windows-DNS-Datenverkehr eine Momentaufnahme des Surfens des Benutzers darstellt Geschichte. Für Windows-Benutzer bedeutet dies, dass ihre Erfahrung von Windows standardmäßig so privat wie möglich gemacht wird. Für Microsoft bedeutet dies, dass wir nach Möglichkeiten suchen, den Windows-DNS-Datenverkehr zu verschlüsseln, ohne die konfigurierten DNS-Resolver zu ändern, die von Benutzern und Systemadministratoren festgelegt wurden.
- Datenschutzbewusste Windows-Benutzer und -Administratoren müssen zu den DNS-Einstellungen geführt werden, auch wenn sie noch nicht wissen, was DNS ist. Viele Benutzer sind daran interessiert, ihre Privatsphäre zu kontrollieren und suchen nach datenschutzorientierten Einstellungen wie App-Berechtigungen für Kamera und Standort, kennt die DNS-Einstellungen jedoch nicht oder weiß sie nicht oder versteht, warum sie wichtig sind, und sucht möglicherweise nicht im Gerät danach die Einstellungen.
- Windows-Benutzer und -Administratoren müssen in der Lage sein, ihre DNS-Konfiguration mit möglichst wenigen einfachen Aktionen zu verbessern. Wir müssen sicherstellen, dass wir keine speziellen Kenntnisse oder Anstrengungen von Seiten der Windows-Benutzer benötigen, um von verschlüsseltem DNS zu profitieren. Unternehmensrichtlinien und UI-Aktionen sollten gleichermaßen etwas sein, das Sie nur einmal ausführen und nicht pflegen müssen.
- Windows-Benutzer und -Administratoren müssen den Fallback von verschlüsseltem DNS nach der Konfiguration explizit zulassen. Sobald Windows für die Verwendung von verschlüsseltem DNS konfiguriert wurde und es keine weiteren Anweisungen von Windows-Benutzern oder -Administratoren erhält, sollte es davon ausgehen, dass ein Zurückgreifen auf unverschlüsseltes DNS verboten ist.
Basierend auf diesen Grundsätzen erstellt das Team Pläne zur Einführung DNS über HTTPS (oder DoH) im Windows-DNS-Client. Als Plattform versucht Windows Core Networking, Benutzern die Verwendung beliebiger Protokolle zu ermöglichen, sodass wir in Zukunft offen für andere Optionen wie DNS über TLS (DoT) sind. Ab sofort arbeiten sie daran, DoH zu unterstützen, da sie so ihre vorhandene HTTPS-Infrastruktur wiederverwenden können.
Für den ersten Meilenstein werden sie DoH für DNS-Server verwenden, für die Windows bereits konfiguriert ist. Es gibt jetzt mehrere öffentliche DNS-Server, die DoH unterstützen, und wenn ein Windows-Benutzer oder Geräteadministrator heute einen davon konfiguriert, verwendet Windows einfach klassisches DNS (ohne Verschlüsselung) für diesen Server. Da diese Server und ihre DoH-Konfigurationen jedoch bekannt sind, kann Windows automatisch auf DoH aktualisieren, während derselbe Server verwendet wird. Das Team beansprucht die folgenden Vorteile aus dieser Änderung:
- Wir werden keine Änderungen an dem DNS-Server vornehmen, für den Windows für die Verwendung durch den Benutzer oder das Netzwerk konfiguriert wurde. Heute entscheiden Benutzer und Administratoren, welchen DNS-Server sie verwenden möchten, indem sie das Netzwerk auswählen, dem sie beitreten, oder den Server direkt angeben. Daran ändert auch dieser Meilenstein nichts. Viele Leute verwenden ISP- oder öffentliche DNS-Inhaltsfilter, um beispielsweise anstößige Websites zu blockieren. Das unbemerkte Ändern der DNS-Server, denen die Windows-Auflösungen vertraut sind, könnte diese Kontrollen versehentlich umgehen und unsere Benutzer frustrieren. Wir glauben, dass Geräteadministratoren das Recht haben zu kontrollieren, wohin ihr DNS-Datenverkehr geht.
- Viele Benutzer und Anwendungen, die Datenschutz wünschen, werden die Vorteile nutzen, ohne etwas über DNS wissen zu müssen. Gemäß Prinzip 1 werden die DNS-Abfragen privater, ohne dass Apps oder Benutzer etwas tun. Wenn beide Endpunkte die Verschlüsselung unterstützen, gibt es keinen Grund, auf die Erlaubnis zur Verwendung der Verschlüsselung zu warten!
- Wir können beginnen, die Herausforderungen bei der Durchsetzung der Linie zu erkennen, die Auflösungsfehler einem unverschlüsselten Fallback vorzuziehen. Gemäß Grundsatz 4 wird diese DoH-Nutzung erzwungen, sodass ein von Windows bestätigter DoH-Support nicht über das klassische DNS abgefragt wird. Wenn diese Bevorzugung des Datenschutzes gegenüber der Funktionalität zu Störungen in gängigen Webszenarien führt, werden wir dies frühzeitig herausfinden.
Zukünftig wird Windows 10 die Möglichkeit beinhalten, DoH-Server explizit zu konfigurieren.
Quelle
