Τα Windows 10 θα υποστηρίζουν DNS μέσω HTTPS Natively

Το DNS-over-HTTPS είναι ένα σχετικά νέο πρωτόκολλο ιστού, το οποίο εφαρμόστηκε πριν από περίπου δύο χρόνια. Προορίζεται να αυξήσει το απόρρητο και την ασφάλεια των χρηστών αποτρέποντας την υποκλοπή και τη χειραγώγηση δεδομένων DNS από επιθέσεις man-in-the-middle χρησιμοποιώντας το πρωτόκολλο HTTPS για την κρυπτογράφηση των δεδομένων μεταξύ του πελάτη DoH και του DNS που βασίζεται στο DoH διαλύων.

Η ομάδα του Windows Core Networking είναι απασχολημένη με την προσθήκη της υποστήριξης DoH στο λειτουργικό σύστημα. Ακολουθούν οι κατευθυντήριες αρχές τους σχετικά με τη λήψη αποφάσεων για το είδος της κρυπτογράφησης DNS που θα υποστηρίζουν τα Windows και πώς θα διαμορφωθεί.

• Το DNS των Windows πρέπει να είναι όσο το δυνατόν πιο ιδιωτικό και λειτουργικό από προεπιλογή χωρίς να απαιτείται χρήστης ή διαμόρφωση διαχειριστή επειδή η κυκλοφορία DNS των Windows αντιπροσωπεύει ένα στιγμιότυπο της περιήγησης του χρήστη ιστορία.
   Για τους χρήστες των Windows, αυτό σημαίνει ότι η εμπειρία τους θα γίνει όσο το δυνατόν πιο ιδιωτική από τα Windows out of the box. Για τη Microsoft, αυτό σημαίνει ότι θα αναζητήσουμε ευκαιρίες για κρυπτογράφηση της κυκλοφορίας DNS των Windows χωρίς να αλλάξουμε τους ρυθμισμένους επιλύτες DNS που έχουν οριστεί από χρήστες και διαχειριστές συστήματος.
• Οι χρήστες και οι διαχειριστές των Windows με γνώμονα το απόρρητο πρέπει να καθοδηγούνται στις ρυθμίσεις DNS ακόμα κι αν δεν γνωρίζουν ακόμη τι είναι το DNS. Πολλοί χρήστες ενδιαφέρονται να ελέγχουν το απόρρητό τους και αναζητούν ρυθμίσεις με επίκεντρο το απόρρητο, όπως δικαιώματα εφαρμογών στην κάμερα και τοποθεσία αλλά ενδέχεται να μην γνωρίζει ή να μην γνωρίζει τις ρυθμίσεις DNS ή να κατανοεί γιατί έχουν σημασία και μπορεί να μην τις αναζητά στη συσκευή Ρυθμίσεις.
• Οι χρήστες και οι διαχειριστές των Windows πρέπει να μπορούν να βελτιώσουν τη διαμόρφωση του DNS με όσο το δυνατόν λιγότερες απλές ενέργειες. Πρέπει να διασφαλίσουμε ότι δεν απαιτούμε εξειδικευμένες γνώσεις ή προσπάθεια εκ μέρους των χρηστών των Windows για να επωφεληθούν από το κρυπτογραφημένο DNS. Οι εταιρικές πολιτικές και οι ενέργειες διεπαφής χρήστη θα πρέπει να είναι κάτι που πρέπει να κάνετε μόνο μία φορά αντί να πρέπει να διατηρήσετε.
• Οι χρήστες και οι διαχειριστές των Windows πρέπει να επιτρέπουν ρητά την επιστροφή από κρυπτογραφημένο DNS αφού ρυθμιστούν. Όταν τα Windows έχουν ρυθμιστεί ώστε να χρησιμοποιούν κρυπτογραφημένο DNS, εάν δεν λάβουν άλλες οδηγίες από χρήστες ή διαχειριστές των Windows, θα πρέπει να υποθέσει ότι η επιστροφή σε μη κρυπτογραφημένο DNS απαγορεύεται.

Με βάση αυτές τις αρχές, η ομάδα κάνει σχέδια για υιοθέτηση DNS μέσω HTTPS (ή DoH) στον υπολογιστή-πελάτη DNS των Windows. Ως πλατφόρμα, το Windows Core Networking επιδιώκει να δώσει τη δυνατότητα στους χρήστες να χρησιμοποιούν ό, τι πρωτόκολλο χρειάζονται, επομένως είμαστε ανοιχτοί στο να έχουμε άλλες επιλογές, όπως DNS μέσω TLS (DoT) στο μέλλον. Από τώρα, εργάζονται για να υποστηρίξουν το DoH, επειδή θα τους επιτρέψει να επαναχρησιμοποιήσουν την υπάρχουσα υποδομή HTTPS.

Για το πρώτο ορόσημο, θα χρησιμοποιήσουν DoH για διακομιστές DNS Τα Windows έχουν ήδη ρυθμιστεί για χρήση. Υπάρχουν πλέον αρκετοί δημόσιοι διακομιστές DNS που υποστηρίζουν DoH και εάν ένας χρήστης των Windows ή διαχειριστής συσκευής διαμορφώσει έναν από αυτούς σήμερα, τα Windows θα χρησιμοποιήσουν απλώς το κλασικό DNS (χωρίς κρυπτογράφηση) σε αυτόν τον διακομιστή. Ωστόσο, δεδομένου ότι αυτοί οι διακομιστές και οι διαμορφώσεις DoH τους είναι γνωστοί, τα Windows μπορούν να αναβαθμιστούν αυτόματα σε DoH ενώ χρησιμοποιούν τον ίδιο διακομιστή. Η ομάδα ισχυρίζεται τα ακόλουθα οφέλη από αυτήν την αλλαγή:

• Δεν θα κάνουμε καμία αλλαγή στον οποίο ο διακομιστής DNS έχει ρυθμιστεί για χρήση από τον χρήστη ή το δίκτυο. Σήμερα, οι χρήστες και οι διαχειριστές αποφασίζουν ποιον διακομιστή DNS θα χρησιμοποιήσουν επιλέγοντας το δίκτυο στο οποίο συμμετέχουν ή προσδιορίζοντας απευθείας τον διακομιστή. αυτό το ορόσημο δεν θα αλλάξει τίποτα σε αυτό. Πολλοί άνθρωποι χρησιμοποιούν ISP ή φιλτράρισμα δημόσιου περιεχομένου DNS για να κάνουν πράγματα όπως να αποκλείσουν προσβλητικούς ιστότοπους. Η αθόρυβη αλλαγή των διακομιστών DNS που είναι αξιόπιστοι για την εκτέλεση αναλύσεων των Windows θα μπορούσε κατά λάθος να παρακάμψει αυτά τα στοιχεία ελέγχου και να απογοητεύσει τους χρήστες μας. Πιστεύουμε ότι οι διαχειριστές συσκευών έχουν το δικαίωμα να ελέγχουν πού πηγαίνει η επισκεψιμότητα DNS τους.
• Πολλοί χρήστες και εφαρμογές που θέλουν απόρρητο θα αρχίσουν να λαμβάνουν τα οφέλη χωρίς να χρειάζεται να γνωρίζουν για το DNS. Σύμφωνα με την αρχή 1, τα ερωτήματα DNS γίνονται πιο ιδιωτικά χωρίς καμία ενέργεια από εφαρμογές ή χρήστες. Όταν και τα δύο τελικά σημεία υποστηρίζουν κρυπτογράφηση, δεν υπάρχει λόγος να περιμένετε για άδεια χρήσης κρυπτογράφησης!
• Μπορούμε να αρχίσουμε να βλέπουμε τις προκλήσεις στην επιβολή της γραμμής για την προτίμηση αποτυχίας ανάλυσης από μη κρυπτογραφημένη εναλλακτική. Σύμφωνα με την αρχή 4, αυτή η χρήση DoH θα επιβληθεί έτσι ώστε να μην γίνεται συμβουλή σε διακομιστή που έχει επιβεβαιωθεί από τα Windows ότι υποστηρίζει DoH μέσω του κλασικού DNS. Εάν αυτή η προτίμηση για το απόρρητο έναντι της λειτουργικότητας προκαλεί οποιαδήποτε διακοπή σε κοινά σενάρια ιστού, θα το μάθουμε νωρίς.

Στο μέλλον, τα Windows 10 θα περιλαμβάνουν τη δυνατότητα ρητής ρύθμισης των διακομιστών DoH.

Πηγή