A Windows 10 natívan támogatja a DNS-t HTTPS-en keresztül

A DNS-over-HTTPS egy viszonylag fiatal webprotokoll, amelyet körülbelül két éve vezettek be. Célja a felhasználók magánéletének és biztonságának növelése azáltal, hogy megakadályozza a DNS-adatok lehallgatását és manipulálását középső támadások a HTTPS protokoll használatával a DoH kliens és a DoH-alapú DNS közötti adatok titkosítására megoldó.

A Windows Core Networking csapata azzal van elfoglalva, hogy a DoH támogatást hozzáadja az operációs rendszerhez. Íme a vezérelveik a döntések meghozatalához, hogy a Windows milyen DNS-titkosítást támogat, és hogyan lesz konfigurálva.

• A Windows DNS-nek alapértelmezés szerint a lehető legprivátabbnak és működőképesnek kell lennie, felhasználó nélkül vagy adminisztrátori konfiguráció, mert a Windows DNS-forgalom a felhasználó böngészésének pillanatképe történelem. A Windows-felhasználók számára ez azt jelenti, hogy a Windows a dobozból a lehető legszemélyesebbé teszi az élményt. A Microsoft számára ez azt jelenti, hogy meg fogjuk keresni a Windows DNS-forgalom titkosításának lehetőségeit anélkül, hogy megváltoztatnánk a felhasználók és a rendszergazdák által beállított DNS-feloldókat.
• Az adatvédelemre törekvő Windows-felhasználókat és rendszergazdákat akkor is el kell vezetni a DNS-beállításokhoz, ha még nem tudják, mi az a DNS. Sok felhasználó érdekli magánéletének szabályozása, és olyan adatvédelmi központú beállításokat keres, mint például az alkalmazások engedélyei a kamerához és de lehet, hogy nem ismeri vagy tud a DNS-beállításokról, vagy nem érti, miért fontosak ezek, és előfordulhat, hogy nem keresi őket az eszközben beállítások.
• A Windows-felhasználóknak és a rendszergazdáknak a lehető legkevesebb egyszerű művelettel javítani kell DNS-konfigurációjukat. Biztosítanunk kell, hogy a Windows-felhasználóktól nincs szükség speciális ismeretekre vagy erőfeszítésekre a titkosított DNS előnyeinek kihasználásához. A vállalati szabályzatok és a felhasználói felület műveletei egyaránt olyan dolgok, amelyeket csak egyszer kell elvégezni, nem kell fenntartani.
• A Windows-felhasználóknak és a rendszergazdáknak kifejezetten engedélyezniük kell a visszalépést a titkosított DNS-ről a konfigurálás után. Ha a Windows titkosított DNS használatára lett konfigurálva, és nem kap más utasítást a Windows-felhasználóktól vagy a rendszergazdáktól, akkor feltételezi, hogy a titkosítatlan DNS-hez való visszatérés tilos.

Ezen elvek alapján a csapat az elfogadás terveit készíti el DNS HTTPS-en keresztül (vagy DoH) a Windows DNS-ügyfélben. Platformként a Windows Core Networking arra törekszik, hogy a felhasználók bármilyen protokollt használhassanak, amire szükségük van, ezért nyitottak vagyunk arra, hogy a jövőben más lehetőségek is rendelkezésre állnak, például a DNS over TLS (DoT). Jelenleg a DoH támogatásán dolgoznak, mert ez lehetővé teszi számukra a meglévő HTTPS infrastruktúra újrafelhasználását.

Az első mérföldkőként a DoH-t fogják használni a Windows által már konfigurált DNS-kiszolgálókhoz. Jelenleg több nyilvános DNS-kiszolgáló támogatja a DoH-t, és ha egy Windows-felhasználó vagy eszközadminisztrátor ma beállítja valamelyiket, a Windows csak a klasszikus DNS-t (titkosítás nélkül) fogja használni az adott szerverhez. Mivel azonban ezek a kiszolgálók és DoH-konfigurációik jól ismertek, a Windows automatikusan frissíthet DoH-ra, miközben ugyanazt a szervert használja. A csapat a következő előnyöket állítja a változásból:

• Nem változtatjuk meg, hogy a Windows melyik DNS-kiszolgálót használja a felhasználó vagy a hálózat számára. Manapság a felhasználók és a rendszergazdák döntik el, hogy melyik DNS-kiszolgálót használják a hálózat kiválasztásával vagy a szerver közvetlen megadásával; ez a mérföldkő ezen semmit sem változtat. Sokan az internetszolgáltatót vagy a nyilvános DNS-tartalomszűrést használják olyan dolgokra, mint például a támadó webhelyek blokkolása. A Windows-felbontások végrehajtására megbízott DNS-kiszolgálók csendes módosítása véletlenül megkerülheti ezeket a vezérlőket, és frusztrálhatja a felhasználókat. Úgy gondoljuk, hogy az eszközadminisztrátoroknak jogukban áll szabályozni, hogy DNS-forgalmuk hova menjen.
• Sok adatvédelmet kívánó felhasználó és alkalmazás anélkül fogja élvezni az előnyöket, hogy ismernie kell a DNS-t. Az 1. alapelvnek megfelelően a DNS-lekérdezések privátabbá válnak anélkül, hogy sem az alkalmazások, sem a felhasználók nem tesznek semmit. Ha mindkét végpont támogatja a titkosítást, nincs ok arra, hogy várjunk a titkosítás használatára vonatkozó engedélyre!
• Kezdjük látni a kihívásokat a felbontás kudarcának előnyben részesítése a titkosítatlan tartalék helyett. A 4. elvvel összhangban ezt a DoH-használatot kényszerítik, így a Windows által jóváhagyott, a DoH-t támogató kiszolgálót nem a klasszikus DNS-en keresztül kérik le. Ha ez az adatvédelem előnyben részesítése a funkcionalitás helyett zavart okoz a gyakori webes forgatókönyvekben, akkor korán kiderítjük.

A jövőben a Windows 10 tartalmazni fogja a DoH-kiszolgálók explicit konfigurálásának lehetőségét.

Forrás