Windows 10 toetab DNS-i algselt HTTPS-i kaudu

DNS-over-HTTPS on suhteliselt noor veebiprotokoll, mis võeti kasutusele umbes kaks aastat tagasi. Selle eesmärk on suurendada kasutajate privaatsust ja turvalisust, vältides DNS-i andmete pealtkuulamist ja manipuleerimist man-in-the-middle rünnakud, kasutades HTTPS-protokolli andmete krüpteerimiseks DoH-kliendi ja DoH-põhise DNS-i vahel lahendaja.

Windows Core Networking meeskond on hõivatud DoH toe lisamisega operatsioonisüsteemile. Siin on nende juhtpõhimõtted otsuste tegemisel, millist DNS-i krüptimist Windows toetab ja kuidas seda konfigureeritakse.

• Windowsi DNS peab vaikimisi olema võimalikult privaatne ja funktsionaalne, ilma et oleks vaja kasutajat või administraatori konfiguratsiooni, sest Windowsi DNS-i liiklus kujutab endast kasutaja sirvimise hetketõmmist ajalugu. Windowsi kasutajatele tähendab see, et Windows muudab nende kasutuskogemuse karbist välja võttes võimalikult privaatseks. Microsofti jaoks tähendab see, et otsime võimalusi Windowsi DNS-liikluse krüptimiseks, muutmata kasutajate ja süsteemiadministraatorite määratud konfigureeritud DNS-i lahendajaid.
• Privaatsusele mõtlevad Windowsi kasutajad ja administraatorid tuleb suunata DNS-i sätete juurde isegi siis, kui nad veel ei tea, mis DNS on. Paljud kasutajad on huvitatud oma privaatsuse kontrollimisest ja otsivad privaatsuskeskseid seadeid, nagu rakenduse load kaamerale ja asukohta, kuid ei pruugi olla DNS-seadetest teadlik või neist teadlik ega mõista, miks need on olulised, ega pruugi neid seadmest otsida seaded.
• Windowsi kasutajad ja administraatorid peavad saama oma DNS-i konfiguratsiooni täiustada võimalikult väheste lihtsate toimingutega. Peame tagama, et me ei nõua Windowsi kasutajatelt eriteadmisi ega pingutusi, et krüpteeritud DNS-ist kasu saada. Ettevõtluse eeskirjad ja kasutajaliidese toimingud peaksid olema midagi, mida peate tegema vaid üks kord, selle asemel, et neid hooldada.
• Windowsi kasutajad ja administraatorid peavad pärast konfigureerimist selgesõnaliselt lubama krüpteeritud DNS-i tagasipöördumise. Kui Windows on konfigureeritud kasutama krüptitud DNS-i ja kui ta ei saa Windowsi kasutajatelt või administraatoritelt muid juhiseid, peaks see eeldama, et krüptimata DNS-i juurde tagasi pöördumine on keelatud.

Nendest põhimõtetest lähtuvalt teeb meeskond plaane lapsendamiseks DNS HTTPS-i kaudu (või DoH) Windowsi DNS-kliendis. Platvormina püüab Windows Core Networking võimaldada kasutajatel kasutada mis tahes vajalikke protokolle, seega oleme tulevikus avatud muudele võimalustele, nagu DNS TLS-i kaudu (DoT). Praeguse seisuga töötavad nad DoH toetamise nimel, kuna see võimaldab neil olemasolevat HTTPS-i infrastruktuuri uuesti kasutada.

Esimese verstapostina kasutavad nad DoH-d DNS-serverite jaoks, mida Windows on juba konfigureeritud kasutama. Nüüd on mitu avalikku DNS-serverit, mis toetavad DoH-d, ja kui Windowsi kasutaja või seadme administraator konfigureerib täna ühe neist, kasutab Windows selle serveri jaoks klassikalist DNS-i (ilma krüptimiseta). Kuna need serverid ja nende DoH konfiguratsioonid on aga hästi teada, saab Windows sama serverit kasutades automaatselt üle minna DoH-le. Meeskond väidab, et sellest muudatusest on järgmised eelised:

• Me ei muuda seda, millist DNS-serverit Windows kasutaja või võrk kasutama konfigureeris. Tänapäeval otsustavad kasutajad ja administraatorid, millist DNS-serverit kasutada, valides võrgu, millega nad liituvad, või määrates serveri otse; see verstapost ei muuda selles midagi. Paljud inimesed kasutavad Interneti-teenuse pakkuja või avaliku DNS-i sisu filtreerimist, et teha selliseid toiminguid nagu solvavate veebisaitide blokeerimine. Windowsi eraldusvõimet teostavate DNS-serverite vaikne muutmine võib neist juhtelementidest kogemata mööda minna ja meie kasutajaid frustreerida. Usume, et seadme administraatoritel on õigus kontrollida, kuhu nende DNS-liiklus läheb.
• Paljud kasutajad ja rakendused, kes soovivad privaatsust, hakkavad sellest kasu saama, ilma et nad peaksid DNS-i kohta teadma. Kooskõlas põhimõttega 1 muutuvad DNS-päringud privaatsemaks, ilma et rakendused ega kasutajad midagi teeks. Kui mõlemad lõpp-punktid toetavad krüptimist, pole põhjust krüptimise kasutamise luba oodata!
• Hakkame nägema väljakutseid, mis tulenevad eraldusvõime ebaõnnestumise eelistamisest krüpteerimata varuvariandile. Kooskõlas põhimõttega 4 jõustatakse seda DoH-i kasutamist nii, et Windowsi poolt kinnitatud DoH-i toetava serveriga ei võeta nõu klassikalise DNS-i kaudu. Kui see privaatsuse eelistamine funktsionaalsusele põhjustab tavalistes veebistsenaariumides häireid, saame sellest varakult teada.

Tulevikus sisaldab Windows 10 võimalust DoH-servereid selgesõnaliselt konfigureerida.

Allikas