Windows 10 izvorno će podržavati DNS preko HTTPS-a
DNS-over-HTTPS je relativno mlad web protokol, implementiran prije otprilike dvije godine. Namjera mu je povećati privatnost i sigurnost korisnika sprječavanjem prisluškivanja i manipulacije DNS podacima od strane napadi čovjeka u sredini korištenjem HTTPS protokola za šifriranje podataka između DoH klijenta i DNS-a utemeljenog na DoH-u razrješavač.
Windows Core Networking tim zauzet je dodavanjem DoH podrške u OS. Evo njihovih vodećih načela za donošenje odluka kakvu će vrstu DNS enkripcije Windows podržavati i kako će biti konfigurirana.
- Windows DNS prema zadanim postavkama mora biti što privatniji i funkcionalniji bez potrebe za korisnikom ili konfiguraciju administratora jer Windows DNS promet predstavlja snimku korisnikova pregledavanja povijesti. Za korisnike sustava Windows, to znači da će njihovo iskustvo biti što privatnije od strane Windowsa. Za Microsoft to znači da ćemo tražiti mogućnosti za šifriranje Windows DNS prometa bez promjene konfiguriranih DNS razrješavača koje su postavili korisnici i administratori sustava.
- Korisnici i administratori Windowsa koji brinu o privatnosti moraju biti vođeni do postavki DNS-a čak i ako još ne znaju što je DNS. Mnogi korisnici su zainteresirani za kontrolu svoje privatnosti i traže postavke usmjerene na privatnost, kao što su dopuštenja aplikacija za kameru i lokacija, ali možda nisu svjesni ili ne znaju za DNS postavke ili razumiju zašto su važne i možda ih neće tražiti na uređaju postavke.
- Korisnici i administratori sustava Windows moraju moći poboljšati svoju DNS konfiguraciju sa što manje jednostavnih radnji. Moramo osigurati da ne zahtijevamo specijalizirano znanje ili trud od strane korisnika sustava Windows da bi imali koristi od šifriranog DNS-a. Poduzetničke politike i radnje korisničkog sučelja trebale bi biti nešto što morate učiniti samo jednom, a ne održavati.
- Korisnici i administratori sustava Windows moraju izričito dopustiti zamjenu s šifriranog DNS-a nakon konfiguracije. Nakon što je Windows konfiguriran za korištenje šifriranog DNS-a, ako ne dobije druge upute od korisnika ili administratora sustava Windows, trebao bi pretpostaviti da je povratak na nekriptirani DNS zabranjen.
Na temelju ovih načela tim radi planove za usvajanje DNS preko HTTPS-a (ili DoH) u Windows DNS klijentu. Kao platforma, Windows Core Networking nastoji korisnicima omogućiti korištenje svih protokola koji im trebaju, tako da smo otvoreni za druge opcije kao što je DNS preko TLS-a (DoT) u budućnosti. Od sada rade na podršci DoH-u jer će im to omogućiti ponovno korištenje postojeće HTTPS infrastrukture.
Za prvu prekretnicu, koristit će DoH za DNS poslužitelje koje je Windows već konfiguriran za korištenje. Sada postoji nekoliko javnih DNS poslužitelja koji podržavaju DoH, a ako Windows korisnik ili administrator uređaja danas konfigurira jedan od njih, Windows će samo koristiti klasični DNS (bez enkripcije) za taj poslužitelj. Međutim, budući da su ovi poslužitelji i njihove DoH konfiguracije dobro poznati, Windows se može automatski nadograditi na DoH dok koristi isti poslužitelj. Tim tvrdi sljedeće prednosti ove promjene:
- Nećemo unositi nikakve promjene na DNS poslužitelju koji je Windows konfigurirao za korištenje od strane korisnika ili mreže. Danas korisnici i administratori odlučuju koji će DNS poslužitelj koristiti odabirom mreže kojoj se pridružuju ili izravno navođenjem poslužitelja; ova prekretnica neće ništa promijeniti u vezi s tim. Mnogi ljudi koriste ISP ili javni DNS filtriranje sadržaja kako bi učinili stvari poput blokiranja uvredljivih web-mjesta. Tiha promjena DNS poslužitelja kojima se povjerava Windows rezolucija mogla bi nehotice zaobići ove kontrole i frustrirati naše korisnike. Vjerujemo da administratori uređaja imaju pravo kontrolirati kamo ide njihov DNS promet.
- Mnogi korisnici i aplikacije koji žele privatnost počet će dobivati prednosti bez da moraju znati o DNS-u. U skladu s načelom 1, DNS upiti postaju privatniji bez ikakvih radnji ni aplikacija ni korisnika. Kada obje krajnje točke podržavaju enkripciju, nema razloga čekati na dopuštenje za korištenje enkripcije!
- Možemo početi uviđati izazove u provođenju linije o preferiranju neuspjeha razlučivanja u odnosu na nekriptiranu zamjenu. U skladu s načelom 4, ova upotreba DoH-a bit će nametnuta tako da se poslužitelj za koji je Windows potvrdio da podržava DoH neće biti konzultiran putem klasičnog DNS-a. Ako ova preferencija privatnosti u odnosu na funkcionalnost uzrokuje bilo kakav poremećaj u uobičajenim web scenarijima, saznat ćemo rano.
U budućnosti će Windows 10 uključivati mogućnost eksplicitnog konfiguriranja DoH poslužitelja.
Izvor