Windows 10 tukee DNS: ää HTTPS: n kautta alkuperäisesti

DNS-over-HTTPS on suhteellisen nuori verkkoprotokolla, joka otettiin käyttöön noin kaksi vuotta sitten. Sen tarkoituksena on lisätä käyttäjien yksityisyyttä ja turvallisuutta estämällä DNS-tietojen salakuuntelu ja manipulointi man-in-the-middle -hyökkäykset käyttämällä HTTPS-protokollaa salaamaan DoH-asiakkaan ja DoH-pohjaisen DNS: n väliset tiedot ratkaiseja.

Windows Core Networking -tiimi on kiireinen DoH-tuen lisäämisessä käyttöjärjestelmään. Tässä ovat heidän ohjaavat periaatteensa päätöksenteossa, millaista DNS-salausta Windows tukee ja miten se konfiguroidaan.

• Windowsin DNS: n on oltava oletuksena mahdollisimman yksityinen ja toimiva ilman käyttäjän tarvetta tai järjestelmänvalvojan määritykset, koska Windowsin DNS-liikenne edustaa tilannekuvaa käyttäjän selaamisesta historia. Windows-käyttäjille tämä tarkoittaa, että Windows tekee heidän käyttökokemuksestaan ​​mahdollisimman yksityisen. Microsoftille tämä tarkoittaa, että etsimme mahdollisuuksia Windows DNS -liikenteen salaamiseen muuttamatta käyttäjien ja järjestelmänvalvojien määrittämiä DNS-selvittäjiä.
• Yksityisyyttä ajattelevia Windows-käyttäjiä ja -järjestelmänvalvojia on ohjattava DNS-asetuksiin, vaikka he eivät vielä tietäisi, mikä DNS on. Monet käyttäjät ovat kiinnostuneita yksityisyytensä hallinnasta ja etsivät yksityisyyteen liittyviä asetuksia, kuten sovellusten käyttöoikeuksia kameraan ja sijainti, mutta ei ehkä ole tietoinen tai tiedä DNS-asetuksista tai ymmärrä niiden merkitystä, eikä välttämättä etsi niitä laitteesta asetukset.
• Windows-käyttäjien ja järjestelmänvalvojien on voitava parantaa DNS-kokoonpanoaan mahdollisimman harvoilla yksinkertaisilla toimilla. Meidän on varmistettava, ettemme vaadi Windows-käyttäjiltä erikoisosaamista tai ponnisteluja hyötyäkseen salatusta DNS: stä. Yrityksen käytäntöjen ja käyttöliittymätoimintojen pitäisi olla sellaisia, jotka sinun on tehtävä vain kerran, eikä niitä tarvitse ylläpitää.
• Windows-käyttäjien ja järjestelmänvalvojien on nimenomaisesti sallittava salatun DNS: n palautus, kun se on määritetty. Kun Windows on määritetty käyttämään salattua DNS: ää, jos se ei saa muita ohjeita Windows-käyttäjiltä tai järjestelmänvalvojilta, sen pitäisi olettaa, että salaamattomaan DNS: ään palaaminen on kielletty.

Näiden periaatteiden pohjalta tiimi suunnittelee käyttöönottoa DNS HTTPS: n kautta (tai DoH) Windowsin DNS-asiakkaassa. Alustana Windows Core Networking pyrkii antamaan käyttäjille mahdollisuuden käyttää mitä tahansa tarvitsemaansa protokollaa, joten olemme valmiita käyttämään muita vaihtoehtoja, kuten DNS over TLS (DoT) tulevaisuudessa. Toistaiseksi he työskentelevät DoH: n tukemiseksi, koska sen avulla he voivat käyttää uudelleen olemassa olevaa HTTPS-infrastruktuuriaan.

Ensimmäisenä virstanpylväänä he käyttävät DoH: ta DNS-palvelimille, joita Windows on jo määritetty käyttämään. Nykyään on useita julkisia DNS-palvelimia, jotka tukevat DoH: ta, ja jos Windows-käyttäjä tai laitteen järjestelmänvalvoja määrittää yhden niistä tänään, Windows käyttää vain klassista DNS-palvelinta (ilman salausta) kyseiselle palvelimelle. Koska nämä palvelimet ja niiden DoH-kokoonpanot ovat kuitenkin hyvin tunnettuja, Windows voi päivittää automaattisesti DoH: ksi samalla palvelimella. Tiimi väittää saavansa muutoksesta seuraavat edut:

• Emme tee muutoksia siihen DNS-palvelimeen, jonka käyttäjä tai verkko on määrittänyt käyttämään. Nykyään käyttäjät ja järjestelmänvalvojat päättävät mitä DNS-palvelinta käyttävät valitsemalla verkon, johon he liittyvät, tai määrittämällä palvelimen suoraan. tämä virstanpylväs ei muuta siinä mitään. Monet ihmiset käyttävät Internet-palveluntarjoajan tai julkisen DNS-sisällön suodatusta esimerkiksi loukkaavien verkkosivustojen estämiseen. DNS-palvelimien, joihin luotetaan Windows-resoluutioille, muuttaminen hiljaa voi vahingossa ohittaa nämä ohjaimet ja turhauttaa käyttäjiämme. Uskomme, että laitteiden järjestelmänvalvojilla on oikeus määrätä, minne heidän DNS-liikennensä kulkee.
• Monet käyttäjät ja sovellukset, jotka haluavat yksityisyyttä, alkavat saada etuja ilman, että heidän tarvitsee tietää DNS: stä. Periaatteen 1 mukaisesti DNS-kyselyistä tulee yksityisempiä ilman, että sovellukset tai käyttäjät toimi. Kun molemmat päätepisteet tukevat salausta, ei ole mitään syytä odottaa lupaa käyttää salausta!
• Voimme alkaa nähdä haasteita, jotka liittyvät linjaan, jonka mukaan resoluutio epäonnistuu mieluummin kuin salaamaton vara. Periaatteen 4 mukaisesti tämä DoH-käyttö pakotetaan niin, että Windowsin vahvistamaa palvelinta ei oteta yhteyttä perinteisen DNS: n kautta. Jos tämä yksityisyyden asettaminen toiminnallisuuden sijaan aiheuttaa häiriöitä yleisissä verkkoskenaarioissa, saamme tietää aikaisin.

Tulevaisuudessa Windows 10 sisältää mahdollisuuden määrittää DoH-palvelimet nimenomaisesti.

Lähde