Windows 10 Akan Mendukung DNS melalui HTTPS Secara Asli
DNS-over-HTTPS adalah protokol web yang relatif muda, diimplementasikan sekitar dua tahun lalu. Hal ini dimaksudkan untuk meningkatkan privasi dan keamanan pengguna dengan mencegah penyadapan dan manipulasi data DNS dengan serangan man-in-the-middle dengan menggunakan protokol HTTPS untuk mengenkripsi data antara klien DoH dan DNS berbasis DoH pemecah masalah.
Tim Jaringan Inti Windows sedang sibuk menambahkan dukungan DoH ke OS. Berikut adalah prinsip panduan mereka dalam membuat keputusan jenis enkripsi DNS yang akan didukung Windows dan bagaimana konfigurasinya.
- DNS Windows harus bersifat pribadi dan sefungsional mungkin secara default tanpa memerlukan pengguna atau konfigurasi admin karena lalu lintas DNS Windows mewakili cuplikan penelusuran pengguna sejarah. Untuk pengguna Windows, ini berarti pengalaman mereka akan dibuat sepribadi mungkin oleh Windows di luar kotak. Untuk Microsoft, ini berarti kami akan mencari peluang untuk mengenkripsi lalu lintas DNS Windows tanpa mengubah penyelesai DNS yang dikonfigurasi yang ditetapkan oleh pengguna dan administrator sistem.
- Pengguna dan administrator Windows yang berpikiran privasi perlu dipandu ke pengaturan DNS meskipun mereka belum mengetahui apa itu DNS. Banyak pengguna yang tertarik untuk mengontrol privasi mereka dan mencari pengaturan yang berpusat pada privasi seperti izin aplikasi ke kamera dan lokasi tetapi mungkin tidak mengetahui atau mengetahui tentang pengaturan DNS atau memahami mengapa itu penting dan mungkin tidak mencarinya di perangkat pengaturan.
- Pengguna dan administrator Windows harus dapat meningkatkan konfigurasi DNS mereka dengan tindakan sesederhana mungkin. Kami harus memastikan bahwa kami tidak memerlukan pengetahuan atau upaya khusus dari pihak pengguna Windows untuk mendapatkan manfaat dari DNS terenkripsi. Kebijakan perusahaan dan tindakan UI sama-sama harus menjadi sesuatu yang hanya perlu Anda lakukan sekali daripada perlu dipertahankan.
- Pengguna dan administrator Windows perlu secara eksplisit mengizinkan fallback dari DNS terenkripsi setelah dikonfigurasi. Setelah Windows dikonfigurasi untuk menggunakan DNS terenkripsi, jika tidak mendapatkan instruksi lain dari pengguna atau administrator Windows, seharusnya menganggap kembali ke DNS tidak terenkripsi dilarang.
Berdasarkan prinsip-prinsip ini, tim membuat rencana untuk mengadopsi DNS melalui HTTPS (atau DoH) di klien DNS Windows. Sebagai platform, Windows Core Networking berupaya memungkinkan pengguna untuk menggunakan protokol apa pun yang mereka butuhkan, jadi kami terbuka untuk memiliki opsi lain seperti DNS over TLS (DoT) di masa mendatang. Sampai sekarang, mereka bekerja untuk mendukung DoH karena akan memungkinkan mereka untuk menggunakan kembali infrastruktur HTTPS mereka yang ada.
Untuk tonggak pertama, mereka akan menggunakan DoH untuk server DNS Windows yang sudah dikonfigurasi untuk digunakan. Sekarang ada beberapa server DNS publik yang mendukung DoH, dan jika pengguna Windows atau admin perangkat mengonfigurasi salah satunya hari ini, Windows hanya akan menggunakan DNS klasik (tanpa enkripsi) ke server tersebut. Namun, karena server ini dan konfigurasi DoH-nya sudah dikenal, Windows dapat secara otomatis meningkatkan ke DoH saat menggunakan server yang sama. Tim mengklaim manfaat berikut dari perubahan ini:
- Kami tidak akan membuat perubahan apa pun pada server DNS Windows yang dikonfigurasi untuk digunakan oleh pengguna atau jaringan. Saat ini, pengguna dan admin memutuskan server DNS apa yang akan digunakan dengan memilih jaringan yang mereka ikuti atau menentukan server secara langsung; tonggak sejarah ini tidak akan mengubah apa pun tentang itu. Banyak orang menggunakan ISP atau pemfilteran konten DNS publik untuk melakukan hal-hal seperti memblokir situs web yang menyinggung. Mengubah server DNS yang dipercaya untuk melakukan resolusi Windows secara tidak sengaja dapat melewati kontrol ini dan membuat pengguna kami frustrasi. Kami percaya bahwa administrator perangkat memiliki hak untuk mengontrol ke mana arah lalu lintas DNS mereka.
- Banyak pengguna dan aplikasi yang menginginkan privasi akan mulai mendapatkan manfaatnya tanpa harus mengetahui tentang DNS. Sejalan dengan prinsip 1, kueri DNS menjadi lebih pribadi tanpa tindakan dari aplikasi atau pengguna. Ketika kedua titik akhir mendukung enkripsi, tidak ada alasan untuk menunggu izin untuk menggunakan enkripsi!
- Kita dapat mulai melihat tantangan dalam menegakkan garis untuk memilih kegagalan resolusi daripada fallback yang tidak terenkripsi. Sejalan dengan prinsip 4, penggunaan DoH ini akan diberlakukan sehingga server yang dikonfirmasi oleh Windows untuk mendukung DoH tidak akan dikonsultasikan melalui DNS klasik. Jika preferensi untuk privasi daripada fungsionalitas ini menyebabkan gangguan dalam skenario web umum, kami akan mengetahuinya lebih awal.
Di masa depan, Windows 10 akan menyertakan kemampuan untuk mengonfigurasi server DoH secara eksplisit.
Sumber